La “Comisión de Parches”
Hace unas semanas me llamó la atención que mis compañeros corrieran por los pasillos nerviosos e impacientes hacia los ascensores. Iban cargados con papeles y portátiles escurridizos bajo el brazo. Arrastrando los cables que se enredaban en sus piernas. En la cuarta planta se encuentran las salas de reunión más grandes, con potentes proyectores y las mejores facilidades para videoconferencias. Por el aspecto agitado de los convocados debía tratarse un asunto muy urgente. A mis preguntas respondieron que iban a la “Comisión de Parches”. Me quedé perplejo, nunca había oído nada sobre esa comisión en la compañía. El curioso nombre esbozó en mí una sonrisa burlona. ¿Organizarían una excursión en bicicleta?, ¿por la montaña?, ¿tantos pinchazos?, ¿tantos parches? ...
En realidad, unas semanas antes se había producido el ataque de WannaCry. El virus aprovechó una vulnerabilidad de Microsoft, aunque ésta había sido arreglada muchos meses antes. Sólo requería la instalación de un parche en el sistema operativo Windows. Si el parche hubiese estado instalado no habría causado tanto daño en las empresas.
La compañía tuvo la suerte de no sufrir las consecuencias del ataque. Ante mis continuas preguntas, el responsable de seguridad me confirmó que llevaban meses sin actualizar los sistemas operativos y por supuesto, este parche tampoco.
Se había puesto en evidencia el riesgo a que estaba expuesta la compañía al descuidar las actualizaciones periódicas de los programas y aplicaciones. Sólo la casualidad había la libró del ataque del 11 de mayo. En el próximo no tendría tanta suerte.
A las pocas horas de haberse descubierto el virus, las empresas de seguridad habían analizado el código malicioso y desarrollado las firmas antivirus para su detección y eliminación. Pero no serían suficiente protección para los próximos ataques. Los hacker modificarían el código una y otra vez, para eludir los filtros del antivirus. En las próximas semanas surgieron decenas de variantes del virus.
La instalación del parche
Si reflexionamos sobre la instalación de un parche, como puede ser “anti-wannacry”, comprobamos que necesita una administración y gestión previa. En una empresa con decenas o cientos de ordenadores no es una tarea inmediata de descarga y ejecución. Debe tener en cuenta las siguientes condiciones para su planificación.
- Cuáles son las versiones de sistemas operativos instaladas. Es posible que no exista el parche para las versiones más antiguas, o que éste sea incompatible con otras. Lo más probable es que haya que instalar previamente otros paquetes software.
- Determinar la cantidad de ordenadores y servidores que necesitan el parche. Entre éstos, el orden en que se efectuará la instalación: en cuántos se podrá realizar a la vez; el orden, qué usuarios, departamentos o grupos serán los primeros, los segundos o los últimos.
- Identificar los usuarios, las operaciones y los servicios que se verán afectados durante el proceso.
- Considerar las posibilidades que ocurra un fallo. El método de recuperación, como pueda ser la desinstalación del parche y la vuelta al estado anterior o en el peor de los casos, las reinstalaciones desde cero.
A las reuniones para la planificación de actualizaciones software deben acudir los responsables de los departamentos de redes, sistemas, bases de datos, microinformática, operaciones, etc. Es posible que sus áreas no estén directamente implicadas. Ellos mismos deben manifestarlo en la reunión, porque ese es uno de los objetivos de su convocatoria. Finaliza con un plan para la instalación rápida, fiable y eficaz. Sobre todo con la respuesta ante las posibles dificultades y problemas que puedan ocurrir. El plan propuesto estará integrado en el proceso de gestión de cambios, será coherente con los procedimientos de mantenimiento de los sistemas, y por supuesto, contar con la aprobación de la dirección.
La política de actualización del software.
La actualización tiene una gran repercusión en el servicio TI, las actividades de la compañía y en los resultados del negocio. Necesita una atención especial y una directrices de cómo ejecutarla para que las consecuencias negativas sean mínimas. Conviene recordar que cualquier cambio es una fuente de riesgo y las actuaciones deben orientarse hacia su gestión.
El documento “Política de actualización del software” es un texto que contendrá el guión para facilitar la instalación y el cambio al nuevo software. Recogerá los criterios que se deben tener en cuenta para estas tareas. El documento formará parte del elenco de Políticas de Seguridad de la empresa.
En próximas entregas expondremos los factores que se tendrán en cuenta para la creación de la política, así como los contenidos más importantes que debe recoger el texto.
L. F. Real
No hay comentarios:
Publicar un comentario