Gerenciamento de Atualizações: Você esta preparado?

Não há dúvida de que a maior fonte de vulnerabilidades de segurança na TI empresarial sejam os produtos de software sem aplicação de patches e desatualizados.

Embora as redes sociais, os ataques de phishing e a engenharia social tenham recebido mais atenção da mídia, as falhas simples e nada glamurosas no gerenciamento de atualizações deixam as portas do núcleo da empresa abertas para invasores.

Embora não haja dúvida de que o gerenciamento de patches de um grande número de servidores ou de desktops não é tarefa fácil, este processo pode trazer complicações para a equipe de TI responsável.

Um dos fatores complicadores, especialmente nos patches do sistema operacional, é saber exatamente onde o patch será aplicado.

Por exemplo, ele deve ser aplicado ao servidor host ? E se os servidores são virtuais?

Se a resposta for “ambos”, em que ordem ele deverá ser aplicado? Mas apenas isso não responde às perguntas que surgem em relação às consequências e às interações não intencionais.

No entanto, se clientes internos dependerem de aplicativos executados em um desses servidores, as conseqüências de um patch que interrompe o funcionamento de aplicativos existentes poderão ser sérias.

Por esta razão é importante que o seu processo de Gestão de mudanças, esteja sempre envolvido, as mudanças podem ser gerenciadas para otimizar a exposição ao risco, severidade de impacto e transtorno, e claro ser bem sucedidas numa primeira tentativa, o resultado final para o negócio está na realização antecipada de benefícios (ou remoção de riscos), com economia de dinheiro e tempo.

Mudanças aparecem como um resultado de Problemas, mas muitas Mudanças podem vir de benefícios buscados proativamente tais como redução de custos ou melhorias nos serviços.

Benefícios específicos de um sistema de Gerenciamento de Mudança incluem:

Melhor alinhamento dos serviços de TI com os requisitos do negócio
Visibilidade e comunicações de Mudanças aumentadas para ambos – o negócio e o grupo de suporte de serviço
Estimativa de risco melhorada
Um impacto adverso reduzido de Mudanças na qualidade dos serviços e nas SLAs
Estimativa melhor do custo das Mudanças propostas antes de ser contraído
Melhoria na produtividade dos Usuários – menos transtornos e, serviços de alta qualidade
Melhoria na produtividade de pessoal através de uma necessidade menor para o desvio de tarefas planejadas para implementar Mudanças urgentes ou desistir de Mudanças errôneas
Uma percepção melhor de negócio por parte da área de TI através de uma qualidade de serviço melhorada e uma abordagem profissional.

Aplicações de Patches, com o apoio de boas praticas:

Exemplos de Alguns controles Oferecidos Pela ISO 27001

A.10.3 Planejamento e aceitação dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas.

A.10.3.1	Gestão de capacidade	Controle A utilização dos recursos deve ser monitorada e sincronizada e as projeções devem ser feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema
A.10.3.2	Aceitação de sistemas	Controle
		Devem ser estabelecidos critérios de aceitação para novos
		sistemas, atualizações e novas versões e que sejam efetuados
		testes apropriados do(s) sistema(s) durante seu
		desenvolvimento e antes da sua aceitação.

A.12.5 Segurança em processos de desenvolvimento e de suporte

Objetivo: Manter a segurança de sistemas aplicativos e da informação.

A.12.5.1	Procedimentos para controle	Controle A implementação de mudanças deve ser controlada utilizando procedimentos formais de controle de mudanças.
A.12.5.2	Análise crítica técnica das aplicações após mudanças no sistema operacional	Controle Aplicações críticas de negócios devem ser analisadas criticamente e testadas quando sistemas operacionais são mudados, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança.
A.12.5.3	Restrições sobre mudanças em pacotes de software	Controle Modificações em pacotes de software não devem ser incentivadas e devem estar limitadas às mudanças necessárias, e todas as mudanças devem ser estritamente controladas.