Gestão de Processos

Ξ Deixe um comentário

Gerenciamento de Atualizações: Você esta preparado?

publicado por Evandro Ribeiro

Não há dúvida de que a maior fonte de vulnerabilidades de segurança na TI empresarial sejam os produtos de software sem aplicação de patches e desatualizados.

Embora as redes sociais, os ataques de phishing e a engenharia social tenham recebido mais atenção da mídia, as falhas simples e nada glamurosas no gerenciamento de atualizações deixam as portas do núcleo da empresa abertas para invasores.

Embora não haja dúvida de que o gerenciamento de patches de um grande número de servidores ou de desktops não é tarefa fácil, este processo pode trazer complicações para a equipe de TI responsável.

Um dos fatores complicadores, especialmente nos patches do sistema operacional, é saber exatamente onde o patch será aplicado.

Por exemplo, ele deve ser aplicado ao servidor host ? E se os servidores são virtuais?

Se a resposta for “ambos”, em que ordem ele deverá ser aplicado? Mas apenas isso não responde às perguntas que surgem em relação às consequências e às interações não intencionais.

No entanto, se clientes internos dependerem de aplicativos executados em um desses servidores, as conseqüências de um patch que interrompe o funcionamento de aplicativos existentes poderão ser sérias.

Por esta razão é importante que o seu processo de Gestão de mudanças, esteja sempre envolvido, as mudanças podem ser gerenciadas para otimizar a exposição ao risco, severidade de impacto e transtorno, e claro ser bem sucedidas numa primeira tentativa, o resultado final para o negócio está na realização antecipada de benefícios (ou remoção de riscos), com economia de dinheiro e tempo.

Mudanças aparecem como um resultado de Problemas, mas muitas Mudanças podem vir de benefícios buscados proativamente tais como redução de custos ou melhorias nos serviços.

Benefícios específicos de um sistema de Gerenciamento de Mudança incluem:

  • Melhor alinhamento dos serviços de TI com os requisitos do negócio
  • Visibilidade e comunicações de Mudanças aumentadas para ambos – o negócio e o grupo de suporte de serviço
  • Estimativa de risco melhorada
  • Um impacto adverso reduzido de Mudanças na qualidade dos serviços e nas SLAs
  • Estimativa melhor do custo das Mudanças propostas antes de ser contraído
  • Melhoria na produtividade dos Usuários – menos transtornos e, serviços de alta qualidade
  • Melhoria na produtividade de pessoal através de uma necessidade menor para o desvio de tarefas planejadas para implementar Mudanças urgentes ou desistir de Mudanças errôneas
  • Uma percepção melhor de negócio por parte da área de TI através de uma qualidade de serviço melhorada e uma abordagem profissional.

 Aplicações de Patches, com o apoio de boas praticas:

Exemplos de Alguns controles Oferecidos Pela ISO 27001

A.10.3 Planejamento e aceitação dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas.

A.10.3.1Gestão de capacidadeControle
A utilização dos recursos deve ser monitorada e sincronizada e
as projeções devem ser feitas para necessidades de
capacidade futura, para garantir o desempenho requerido do sistema
A.10.3.2 Aceitação de sistemasControle
Devem ser estabelecidos critérios de aceitação para novos
sistemas, atualizações e novas versões e que sejam efetuados
testes apropriados do(s) sistema(s) durante seu
desenvolvimento e antes da sua aceitação.

 

A.12.5 Segurança em processos de desenvolvimento e de suporte

Objetivo: Manter a segurança de sistemas aplicativos e da informação.

A.12.5.1Procedimentos para controleControle
A implementação de mudanças deve ser controlada utilizando
procedimentos formais de controle de mudanças.
A.12.5.2Análise crítica técnica das aplicações após mudanças no sistema operacionalControle
Aplicações críticas de negócios devem ser analisadas
criticamente e testadas quando sistemas operacionais são
mudados, para garantir que não haverá nenhum impacto
adverso na operação da organização ou na segurança.
A.12.5.3Restrições sobre mudanças em pacotes de softwareControle
Modificações em pacotes de software não devem ser
incentivadas e devem estar limitadas às mudanças
necessárias, e todas as mudanças devem ser estritamente
controladas.

 

Até a Proxima!

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Analista de Segurança da Informação, 7 anos de experiencia. Graduado em redes de computadores, Pós Graduado em Segurança da Informação. MCP, ISO27002, COBIT 4.1 RISK MANAGER

Evandro Ribeiro

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.