14 de julio de 2009

Secure Updates

Es de conocimiento general que a pesar de las innumerables medidas de seguridad que aplicamos en servicios, bastionado máquinas, redes, etc. El estado de riesgo conseguido es solo momentáneo, de ahí el viejo dicho de “la seguridad es un proceso”. Como tal debe ser dinámico y adaptarse a las circunstancias del momento, eso también se incluye para las actualizaciones que aplicamos sobre el software con que trabajamos (esté en la capa que esté). Un correcto protocolo de actualización de software es vital en cualquier organización hoy en día, y a las pruebas me remito:

Esto que hoy ha ocurrido para una actualización de BlackBerry en Dubai podría representar que todos nuestros agentes comerciales (y unos cuantos Directores) con sus flamantes BB se quedasen sin teléfono durante varios días. ¿Está este riesgo contemplado en nuestro análisis de riesgos? Es probable que no para los teléfonos, pero si para nuestros servidores, workstation, dispositivos de red, etc.

La política de aplicación de parches es sin duda una de las más importantes para nuestros sistemas de información, si bien los informáticos tenemos tendencia a tener la “ultima moda” tendremos que controlarnos un poco, aunque eso signifique tener nuestros servicios expuestos unos días más a ciertas vulnerabilidades. Es importante mantener una horquilla de tiempo desde la publicación del parche hasta su aplicación, en ese tiempo tampoco debemos estar de brazos cruzados esperando que alguien reporte posibles problemas. Como administradores podemos aprovechar para probar las actualizaciones en entornos controlados, por ejemplo uno donde se Certifique que el cambio no provoca impactos no deseados en los servicios que soportan el sistema parcheado. Una vez que se certifica que la aplicación de un parche es segura (en todos los sentidos) hay que generar un proceso de gestión del cambio apoyado en nuestra Base de Datos de Gestión de la Configuración (CMDB) que contemple un proceso de marcha atrás en caso de que algún incidente no contemplado, de igual forma debe hacerse de forma escalada y controlada. En líneas generales, estas son algunas recomendaciones que no debemos olvidar:

- Todo el software debe estar inventariado.

- Debe existir una política de actualización y control de software.

- Las actualizaciones se obtendrán directamente desde el fabricante, nunca desde terceros.

- Todo parche y actualización debe ser probado en entornos controlados y aislados antes de su aplicación.

- En caso de que la aplicación de un parche genere un riesgo mayor que la exposición a las vulnerabilidades, no se aplicará. No obstante se deberán estudiar medidas compensatorias.

- Las actualizaciones se aplicarán de forma escalada y controlada.

- Se creará un procedimiento de marcha atrás.

Los parches y actualizaciones son importantes para mantener e incrementar el nivel de seguridad de nuestros servicios y sistemas, y al fin y al cabo de nuestro negocio. Pero también pueden ser un riesgo si no se aplican correctamente (ya sea por exceso o por defecto).

Actualizad con moderación! :-)

1 comentarios:

GigA ~~ dijo...

Actualización*

Parece que el parche de Blackberry hacia más cosas aparte de dejarte sin bateria y darle un calentón al aparato. También incluía cierto spyware:

http://www.theregister.co.uk/2009/07/14/blackberry_snooping/

Que diría cierto pariente mio,, cuanto habrá por ahí que no sabemos...