Não há dúvida de que a maior fonte de vulnerabilidades de segurança na TI empresarial sejam os produtos de software sem aplicação de patches e desatualizados.
Embora as redes sociais, os ataques de phishing e a engenharia social tenham recebido mais atenção da mídia, as falhas simples e nada glamurosas no gerenciamento de atualizações deixam as portas do núcleo da empresa abertas para invasores.
Embora não haja dúvida de que o gerenciamento de patches de um grande número de servidores ou de desktops não é tarefa fácil, este processo pode trazer complicações para a equipe de TI responsável.
Um dos fatores complicadores, especialmente nos patches do sistema operacional, é saber exatamente onde o patch será aplicado.
Por exemplo, ele deve ser aplicado ao servidor host ? E se os servidores são virtuais?
Se a resposta for “ambos”, em que ordem ele deverá ser aplicado? Mas apenas isso não responde às perguntas que surgem em relação às consequências e às interações não intencionais.
No entanto, se clientes internos dependerem de aplicativos executados em um desses servidores, as conseqüências de um patch que interrompe o funcionamento de aplicativos existentes poderão ser sérias.
Por esta razão é importante que o seu processo de Gestão de mudanças, esteja sempre envolvido, as mudanças podem ser gerenciadas para otimizar a exposição ao risco, severidade de impacto e transtorno, e claro ser bem sucedidas numa primeira tentativa, o resultado final para o negócio está na realização antecipada de benefícios (ou remoção de riscos), com economia de dinheiro e tempo.
Mudanças aparecem como um resultado de Problemas, mas muitas Mudanças podem vir de benefícios buscados proativamente tais como redução de custos ou melhorias nos serviços.
Exemplos de Alguns controles Oferecidos Pela ISO 27001
Objetivo: Minimizar o risco de falhas nos sistemas.
A.10.3.1 | Gestão de capacidade | Controle A utilização dos recursos deve ser monitorada e sincronizada e as projeções devem ser feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema |
A.10.3.2 | Aceitação de sistemas | Controle |
Devem ser estabelecidos critérios de aceitação para novos | ||
sistemas, atualizações e novas versões e que sejam efetuados | ||
testes apropriados do(s) sistema(s) durante seu | ||
desenvolvimento e antes da sua aceitação. |
Objetivo: Manter a segurança de sistemas aplicativos e da informação.
A.12.5.1 | Procedimentos para controle | Controle A implementação de mudanças deve ser controlada utilizando procedimentos formais de controle de mudanças. |
A.12.5.2 | Análise crítica técnica das aplicações após mudanças no sistema operacional | Controle Aplicações críticas de negócios devem ser analisadas criticamente e testadas quando sistemas operacionais são mudados, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança. |
A.12.5.3 | Restrições sobre mudanças em pacotes de software | Controle Modificações em pacotes de software não devem ser incentivadas e devem estar limitadas às mudanças necessárias, e todas as mudanças devem ser estritamente controladas. |
Até a Proxima!
You must be logged in to post a comment.