¡Parchear o morir! ¿Mensaje apocalíptico o premonitorio? Lo cierto es que condensa la necesidad y la consecuencia de un adecuado/inadecuado proceso de parcheo de nuestros sistemas.
Parchear ha sido siempre una necesidad y una tarea de mantenimiento de los sistemas y de las aplicaciones. Tarea que ha ido ganando complejidad al amparo del incremento y variedad del ecosistema digital de las compañías. ¿Afrontarla o sufrirla? Mejor elige gestionarla de forma fácil.
Razones principales por las que parchear
La principal es evitar sufrir algún incidente de ciberseguridad. Cada vez más los parches y actualizaciones de los fabricantes sirven para “tapar” agujeros de seguridad que son conocidos. Que sean conocidos significa que los “malos” también lo saben y los aprovechan para su beneficio y nuestro perjuicio. En definitiva, si algo evitable sucede se aplica la frase en modo cuñao “te lo dije”.
Por si solo ya justifica dedicar mimo de nuestro proceso neuronal al proceso de parcheo y recursos al parcheo. Si todavía necesitas más también aporta:
- Mejoras funcionales, ya que solucionan errores funcionales.
- Nuevas funcionalidades.
- Mejoras de rendimiento, asociado a optimizaciones de código.
Proceso de parcheo
¿Cuántas herramientas de parcheo conoces? Por cierto, existe vida (y mucha) más allá de nuestro viejo conocido WSUS. También existe necesidad de parchear otros entornos y no solo Microsoft… Lo importante no es la herramienta tecnológica sino el proceso de parcheo. La herramienta debe dar respuesta adecuada al proceso.
¿Cómo es tú proceso de parcheo? Compartimos una propuesta:
Fase de detección
Analizar que parches y actualizaciones para nuestros sistemas y aplicaciones están disponibles. Cruzar esa información con el nivel de vulnerabilidad de nuestros sistemas. Veamos que tenemos en el menú antes de elegir.
Fase de testeo
El objetivo no es parchear siempre a todo. ¡¡Ojalá!! Pero viviendo en un mundo real parchear sin analizar puede traer también consecuencias no deseadas. Actualizas un sistema y él mismo u otro relacionado dejan de funcionar como esperas. Los fabricantes no conocen como es cada entorno tecnológico, nosotros sí. De modo que primero hagamos una cata de lo que hemos elegido del menú para ver qué tal nos sienta.
Nos ahorra sustos y sobre todo trabajo el definir los requisitos de la fase de testeo.
Fase despliegue
Por fin ha llegado el momento de parchear y por favor que sea lo más automatizada y controlada posible.
Automatizar el parcheo: supone que no se precia de que una persona humana en las ventanas de backup (que suelen ser a horas intempestivas) esté llevando a cabo tareas “manuales” de aplicación y de comprobación. Quizá te puedas apoyar en herramientas de monitorización que haga chequeos y acciones correctiva también automáticamente.
Despliegue controlado
Elegir cuándo, cómo y a cuáles se les aplican los parches. Si por requisitos funcionales no se pueden actualizar hay que tener identificados esos sistemas, al menos es recomendable aplicarles una segmentación de red.
Reporte
El gobierno de los servicios y procesos TIC se basa en datos. El proceso de parcheo debe proporcionar información del estado de actualización de los sistemas. Volumen de tareas ejecutadas. Resultado de las tareas etc. Tomar decisiones, analizar estados o realizar mejoras sobre subjetividades de “bastante protegido” “creo que se aplicaron parches ayer” “tengo que mirar si …” frente a tener datos cambia bastante.
Proceso iterativo. Hacer y olvidar acaba balanceando hacia el olvidar. Teniendo datos y un conocimiento de campo sobre nuestro entorno nos facilita actualizar y mejorar el proceso. En caso contrario lo olvidaremos y dejará de hacerse correctamente. Tener sensación de que algo es correcto sin serlo puede traer disgustos (y más trabajo del necesario).
Invertir tiempo en definir un proceso (iterativo) de parcheo y elegir la herramienta tecnológica adecuada salva datos y horas de trabajo.
