Y USTED… ¿CÓMO PARCHA?
Email
| 
¿Desea imprimir?
Regístrese ahora
Hasta para parchar hay que tener técnica. Los que saben dicen que el secreto para un parcheo exitoso está en la automatización. Por Michael Biddik
Si bien la necesidad de parchar las aplicaciones es tan vieja como la misma computación, el volumen de actualizaciones de Windows, junto con el predominio del mercado por parte de Microsoft, constituyen el centro de la atención en este tema. Desde Windows 98, la firma de Redmond ha tratado de automatizar el parcheo de servidores y PC que llevan instalada su plataforma. Su actual encarnación, los Windows Server Update Services (WSUS), constituyen una alternativa de servicio de actualización de software administrado localmente, frente al sistema local Microsoft Update. Mediante WSUS, las áreas IT pueden distribuir parches y actualizaciones automáticamente a dispositivos cliente desde un servidor central.
La versión actual amplía el rango de software que actualiza y constituye una notable mejora frente a tener que recurrir al sitio de Windows Update Web de Microsoft. Se ahorra ancho de banda, tiempo y espacio en disco, porque las PC no tienen que conectarse a un servidor externo. En el Windows Server 2008, esta capacidad será nativa de la aplicación (actualmente, WSUS se descarga gratuitamente del sitio de Microsoft).
El que sea gratis es estupendo, pero muchas organizaciones tienen algo más que escritorios y servidores con Windows, además de que las herramientas gratuitas de Microsoft no proporcionan la flexibilidad o escalabilidad que requieren las organizaciones de mayor tamaño.
Las herramientas para el manejo de parches suelen encontrarse en las suites de administración de distribución, aprovisionamiento y configuración de software, que si bien son relativamente baratas en un principio, se encarecen a medida que aumentan las necesidades. La cuestión de si valen la pena dependerá del tipo de parches que se requiere desplegar. Si uno tiene a su cargo dispositivos de redes, así como servidores y PC de escritorio, puede ser útil una herramienta que tenga la capacidad para manejar todo eso, como Opsware, de HP. Si sólo se tienen escritorios se puede pensar en una oferta más reducida, como Patch Management, de CA, y si lo que se requiere parchar son servidores hay que tomar en cuenta si se trata sólo de Windows o también de Uníx, Linux o sistemas virtualizados.
LOS CINCO TIPS. La automatización es crítica. El parcheo manual es un proceso inaceptable por la mucha mano de obra que exige. Es preciso hacer una lista detallada de cada paso del proceso de parcheo, y tener información del parche para determinar su gravedad o prioridad. Para averiguar si el parche afectará otros sistemas y decidir qué puntos terminales se actualizarán, hay que ir avanzando por fases detalladas, pero antes de adquirir un software es preciso averiguar si todos esos pasos se pueden automatizar.
El control de los cambios derivados de la aplicación de parches, también es importante. ¿Con qué frecuencia y cuándo aplicar los parches? ¿Quién puede desplegarlos o autorizar las actualizaciones? ¿Cómo probar los parches? ¿Qué problemas obligan a un retroceso (rollback)?
Saber cuántos dispositivos se parcharán (o cuántos será preciso parchar en un futuro previsible) también es crítico cuando se consideran qué tipos de parches se instalarán. Existen productos en el mercado para 50 a 100 dispositivos, y también los hay para cientos de miles. Las grandes compañías que piensen adquirir productos de parcheo que afecten las configuraciones, como la distribución de software o las bases de datos para gestión de configuraciones, deben cerciorarse de que tales productos incluyan capacidades robustas de manejo de parches. Y si se tiene un sistema de activos e inventarios hay que comprobar si la función de manejo de parches se integra, para no tener que lanzarse a descubrirlo.
Dado el impacto negativo que, se quiera o no, tendrá el parcheo en usuarios y en la red, es necesario tomar en consideración cómo los productos de parcheo tratan la utilización de los dispositivos que no están conectados al momento del parcheo. ¿Disponen de distribución multicast, compresión avanzada y capacidades de chequeo y de reinicio? ¿Qué pasa si una liga de comunicación se cae y el dispositivo final es una laptop offline, o si por alguna razón la aplicación del parche falla? Lo ideal es que el software tenga una metodología que trate de parchar de nuevo la aplicación y escalar las notificaciones y alertas dependiendo del repetido fracaso.
Por último, el reporteo también es importante. Es necesario comprobar si el producto soporta auditoría y notificación. En muchas organizaciones públicas sujetas a la ley Sarbanes-Oxley, éste es un requisito estricto y no cumplir puede traer consigo considerables penas.
DE TODO Y PARA TODOS. Muchas organizaciones están dispuestas a dedicar recursos especializados para parchar cientos o miles de escritorios y servidores Windows; no sea que un virus o código malicioso se disemine por la red.
En ambientes donde las IT quizá no tengan acceso dedicado a dispositivos administrados, como laptops que se conectan esporádicamente con la red corporativa, se usan agentes, pues son bastante útiles cuando hay que distribuir el tráfico de la red para el parcheo y tienden a proporcionar un control más estrecho sobre los handhelds.
Uno de los proveedores de este tipo de tecnologías es Novell. Su Zenworks Configuration Management notifica al departamento IT si existe una nueva actualización de seguridad, garantizando que la actualización esté lista para su distribución. Asimismo, Novell provee un equipo de expertos en seguridad para rastrear los sitios de soporte del fabricante de software y actualizar la información a las empresas.
El Configuration Manager de IBM, por su parte, proporciona capacidades de automatización de los parches para el software de dispositivos cliente y servidores de Microsoft en ambientes distribuidos. También escanea los clientes móviles en busca de parches faltantes, construye planes y distribuye los parches que hagan falta.
Si se trata de un ambiente donde coexistan Unix, Linux y Mac OS, hay que dirigirse a firmas IT que soporten sistemas operativos y aplicaciones de plataforma cruzada.
El Patch Manager de LANDesk incluye un servicio de suscripción que capta y analiza los parches para ambientes heterogéneos. Al igual que otras suites, escanea dispositivos administrados para identificar vulnerabilidades en las aplicaciones y en los sistemas operativos, y cuando descubre un problema, la persona puede descargar el parche correspondiente e investigar requisitos, dependencias, interacciones y problemas conocidos. LANDesk también monitorea el estado de cada instalación y brinda reducción del ancho de banda, preparación para la distribución y un detallado repoteo de políticas y cumplimiento.
Por su parte, el Patch Manager de BMC (antes Marimba) proporciona capacidades de prueba que permiten a los administradores minimizar los riesgos, analizando el impacto que un parche tendrá en un punto terminal. Y Patch Manager Policy Engine (también de BMC) facilita la instalación inicial de los parches y monitorea continuamente los parches para garantizar que queden instalados.
EXECUTIVE SUMMARY
¿POR QUÉ ES UN PROBLEMA EL PARCHEO?
En 2006, el programa CERT del Instituto de Ingeniería de Software de la Carnegie Mellon informó de más de 8,000 vulnerabilidades en las aplicaciones que requerían parches, cifra 30% superior a la de 2005.
Las áreas IT llevan años empeñadas en reducir este proceso, pero el parcheo continúa causando mucha angustia. Es común saber de organizaciones que llevan más de un mes de retraso en la aplicación de parches, con lo que quedan expuestas a virus y violaciones a la seguridad.
Muchos departamentos IT carecen de herramientas, procesos y recursos para parchar con efectividad. Sin embargo, hay una gran variedad de fabricantes IT -como Altiris (Symantec), BMC, CA, IBM, LANDesk y Novell- tratando de resolver la situación.
Lo ideal sería que el manejo de parches fuera un elemento más del sistema de gestión general de configuraciones o de distribución de software en el caso de las grandes empresas. Como sea, la automatización es crítica, así como la documentación de cambios y la ejecución de pruebas para cerciorarse de que los parches no congestionarán las redes o perjudicarán otras aplicaciones y políticas de desarrollo.
EL IMPACTO DEL MANEJO AUTOMATIZADO DE PARCHES
Beneficios Riesgos
| En el área IT | Reducirá los tiempos muertos resultantes de errores, virus y software malicioso, además de eliminar la necesidad de escribir parches manualmente | Puede proporcionar un falso sentido de seguridad, si las políticas de parcheo no se despliegan correctamente |
| En el negocio | Proporciona reportes detallados útiles en auditorías de políticas. Garantiza que se maximice la productividad de los usuarios | Puede resultar cara la compra y mantenimiento de herramientas de clase empresarial |
| En la competitividad | Además de reducir los costos IT, una política de parches fuerte y automatizada incrementa la confianza general de clientes y usuarios | Si los parches se instalan en horario de trabajo, con constantes reinicios, el trabajo del personal puede volverse lento |
LOS 7 PRINCIPALES ERRORES AL PARCHAR
1. No probar el parche antes de desplegarlo. Algunos parches serán incompatibles con otras aplicaciones o incluso pueden destrozarlas por completo
2. No tener una versión de rollback. Si el parche falla, es preciso disponer de la posibilidad de revertir el proceso
3. Matar la red. Desplegar múltiples parches al mismo tiempo por toda la red puede detener otras aplicaciones y causar el enojo de los usuarios
4. Reiniciar en horario de trabajo. Muchos parches requieren que el sistema se reinicie. De ser posible, estos parches se deben desplegar fuera del horario de oficina
5. Omitir parches. A menudo el llamado de un usuario o un virus desencadena la búsqueda frenética de un parche. Es necesario estar al día en materia de parches para reducir al mínimo los tiempos muertos
6. Carecer de un historial de parcheos. Si se aplican parches con regularidad es preciso mantener un historial de qué parches se han aplicado y cuándo, pensando en auditorías y reportes
7. No tener formalizados los procesos de parcheo. Una política bien definida que especifique quién aprueba los parches y el procedimiento para aplicarlos es indispensable para el éxito en el manejo de parches
No hay artículos relacionados
