La maggior parte dei software necessita di aggiornamenti dopo il rilascio iniziale per correggere bug, vulnerabilità appena identificate e revisioni di funzionalità, ma patch e altre modifiche possono introdurre nuovi rischi per la cybersecurity e la privacy e compromettere le operazioni se non gestite in modo efficace. Per supportare aggiornamenti software e patch efficaci e sicuri, il National Institute of Standards and Technology (NIST) ha rivisto il suo catalogo di controlli di sicurezza e privacy (SP 800-53), uno strumento di riferimento per la gestione del rischio informatico, al fine di supportare in modo più efficace lo sviluppo e l’implementazione di patch e aggiornamenti software.
La revisione, in risposta all’Ordine Esecutivo 14306 sulla cybersecurity, tiene conto della complessità del ciclo di vita delle patch: da un lato la necessità di applicare rapidamente correzioni per chiudere vulnerabilità, dall’altro l’esigenza di test approfonditi per evitare interruzioni operative.
Tra le novità introdotte figurano tre nuovi controlli:
- SA-15 (Logging Syntax): definisce un formato elettronico standard per registrare eventi relativi alla sicurezza, facilitando automazione e risposta agli incidenti.
- SI-02(07) (Root Cause Analysis): specifica l’esecuzione di una revisione per individuare la causa di un problema o di un guasto con l’aggiornamento software, l’elaborazione e l’implementazione di piani di azione.
- SA-24 (Design for Cyber Resiliency): raccomanda la progettazione di sistemi resilienti, capaci di resistere e riprendersi dagli attacchi senza compromettere le funzioni critiche.
L’aggiornamento rivede anche il contenuto tecnico di alcuni controlli esistenti e fornisce ulteriori esempi su come implementarli. L’insieme completo delle modifiche è disponibile nel Cybersecurity and Privacy Reference Tool (CPRT), dove la versione aggiornata è elencata come SP 800-53 Rev. 5.2.0. Inoltre, il NIST fornisce ora aggiornamenti al catalogo di controllo tramite CPRT, scaricabile anche in formati leggibili dalle macchine, tra cui OSCAL e JSON. L’agenzia ha inoltre adottato un nuovo processo di coinvolgimento del pubblico che consente alle parti interessate di rispondere alle modifiche proposte in tempo reale durante i periodi di commento e di formulare suggerimenti.
