Patch & Vulnerability Management — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Trasformare la gestione patch da attività ad-hoc e non tracciata in un processo ripetibile con registro vulnerabilità e cadenza di scansione. Oggi le patch non sono tracciate: non si sa cosa è aggiornato, cosa è fuori supporto, dove sono i buchi. NIS 2 richiede gestione delle vulnerabilità documentata. Nessuna colpa nel passato: si costruisce ora il tracciamento.
1. Inventario asset patchabili
| Asset | Tipo | Versione SO/firmware | In supporto? | Metodo patch attuale | Ultima patch nota |
|---|---|---|---|---|---|
| [da compilare: server] | Sì/No | manuale/WSUS/altro | |||
| [da compilare: endpoint] | |||||
| [da compilare: firewall/appliance] | |||||
| [da compilare: hypervisor] | |||||
| [da compilare: applicativi ERP/gestionali] | |||||
| [da compilare: PLC/OT reparto] |
2. Processo patch — cadenza
| Categoria | Cadenza standard | Patch critiche/emergenza | Finestra manutenzione | Owner |
|---|---|---|---|---|
| SO server | [da compilare: es. mensile] | entro [Ngg] da rilascio | [da compilare] | |
| Endpoint | [da compilare] | |||
| Firewall/appliance | [da compilare] | |||
| Applicativi | [da compilare] | |||
| OT/PLC (dove possibile) | [da compilare: attenzione fermi produzione] |
Fasi per ogni ciclo: 1) test su campione → 2) rollout controllato → 3) verifica → 4) registrazione.
3. Registro vulnerabilità
Tenere un registro unico (foglio/DB) aggiornato dopo ogni scansione.
| ID | Data scoperta | Asset | CVE/descrizione | Severità (C/H/M/L) | Stato (Aperto/In corso/Risolto/Accettato) | Owner | Scadenza | Note |
|---|---|---|---|---|---|---|---|---|
| [da compilare] |
Regola: le vulnerabilità accettate richiedono motivazione scritta e riesame periodico (specie per asset OT non patchabili → mitigazione compensativa, es. segmentazione rete).
4. Scansioni vulnerabilità
- Strumento:
[da compilare: es. scanner interno, servizio esterno] - Cadenza scansione infrastruttura:
[da compilare: es. mensile] - Cadenza scansione perimetro esterno:
[da compilare: es. trimestrale] - Scansione post-cambiamento significativo: Sì/No
- Report distribuito a:
[da compilare]
5. Checklist sintesi
- ☐ Inventario asset patchabili completo con stato supporto
- ☐ Sistemi fuori supporto identificati e piano di dismissione/mitigazione
- ☐ Cadenza patch definita per categoria
- ☐ Processo test → rollout → verifica → registrazione attivo
- ☐ Registro vulnerabilità istituito e aggiornato
- ☐ Scansioni pianificate (interne + perimetro)
- ☐ Vulnerabilità accettate motivate e in riesame
Prossimi passi
[da compilare: scegliere strumento scansione, definire finestre manutenzione con produzione, collegare a nis2-technical-gap-checklist.md § patch]