Cómo Construir un Programa de Gestión de Parches Saludable

Cualquier profesional de ciberseguridad sabe que corregir vulnerabilidades de manera regular es esencial para proteger una red. Mantener aplicaciones, dispositivos e infraestructura actualizados cierra las “puertas traseras” en su entorno.

Pero la mayoría de los profesionales de ciberseguridad también saben que hay una gran brecha entre la teoría de los parches y la realidad. Aunque implementar un programa de gestión de parches es indudablemente una buena práctica, muchas organizaciones luchan. Este hecho ayuda a explicar por qué el 60% de las brechas están relacionadas con vulnerabilidades conocidas pero sin parchear.

¿Qué se puede hacer? En uno de nuestros webinars recientes, hablamos con el experto en ciberseguridad Thomas Baasnes sobre cómo podría ser un programa de gestión de parches “saludable”.

Sigue leyendo para aprender sobre:

  • Cómo Thomas evalúa la política de parches de una empresa
  • Por qué implementar un programa de parches es difícil
  • Si es mejor externalizar el parcheo o hacerlo internamente
  • Cómo la tecnología de gestión de parches puede ayudar

Ingredientes de un programa de parcheo saludable

Thomas es Director de Ciberseguridad en Verdane, una destacada empresa de capital privado con sede en Oslo, Noruega. Siempre que Verdane invierte en una empresa, Thomas realiza una diligencia sobre la postura de ciberseguridad de la misma. Naturalmente, Verdane no querría invertir grandes sumas en una empresa con una seguridad deficiente que pueda enfrentar una violación de datos y grandes multas.

Durante nuestro webinar, le preguntamos a Thomas cómo construir un programa de parcheo “saludable”. Él explicó que, cuando realiza diligencia sobre una empresa, hace las siguientes preguntas.

¿Has mapeado todo?

Si estoy haciendo diligencia sobre una empresa, primero pregunto si realmente han mapeado todo lo que necesita ser parcheado.

Thomas Baasnes

Como dice el viejo adagio, si no puedes medirlo, no puedes gestionarlo – y esto ciertamente se aplica al parcheo. Sin una visión integral de todos los dispositivos y aplicaciones conectados a tu red, es imposible saber cuál es su estado o si están vulnerables.

La manera más sencilla de hacer este tipo de inventario es usar software de mapeo de red. Este escaneará tu red para encontrar todas las aplicaciones (basadas en la nube o locales) y dispositivos (incluyendo servidores, IoT, impresoras). Idealmente, también debería escanear esos sistemas para ayudar a identificar cuándo fueron parcheados por última vez y qué versión están utilizando.

¿Tienes procedimientos de parcheo establecidos?

¿Tienen procedimientos para [parchear] y han automatizado todo lo que se puede automatizar?

Thomas Baasnes

Un programa de gestión de parches saludable requiere un enfoque claro, consistente y bien documentado. Las empresas necesitan una política que diga cuánto tiempo tomará implementar los parches y luego contar con métodos para garantizar que se implemente esa política.

Como señala Thomas, automatizar el parcheo – tanto como sea posible – asegura esta consistencia. Utilizar software de gestión de parches automatizado asegura que implementes parches en múltiples plataformas y software de terceros de manera eficaz.

Habrá algunas áreas que no se podrán parchear automáticamente, como los entornos de producción. Por lo tanto, también es importante recordar parchear esas manualmente.

Cualquiera que sea tu enfoque para el parcheo, Thomas subraya la importancia de ser minucioso. Los procedimientos de parcheo deben cubrir:

  • Todos los endpoints
  • Sistemas operativos
  • Equipos de red
  • Servidores
  • Aplicaciones de terceros
  • Aplicaciones internas propias

¿Buscas vulnerabilidades activamente?

¿Realmente usas herramientas para encontrar vulnerabilidades en tus sistemas y tienes una buena forma de evaluar cuán críticas son?

Thomas Baasnes

Realizar actualizaciones regulares es una buena base para el parcheo. Pero también es importante monitorear continuamente tu entorno en busca de riesgos potenciales. Buscar vulnerabilidades de manera proactiva, evaluarlas según lo peligrosas que son y tener procedimientos para corregirlas ayudará a cerrar las brechas más rápidamente.

¿Tienes una persona designada responsable?

¿Hay alguien que se encargue de obtener información si aparece una nueva vulnerabilidad explotable de tipo cero-day… quien iniciará el proceso de parcheo?

Thomas Baasnes

Los procedimientos y la automatización de la gestión de parches pueden hacer mucho para mantener tu entorno seguro. Sin embargo, un programa de parcheo saludable siempre dependerá de la experiencia humana. Es muy útil contar con una persona designada, que sea responsable del manejo de los parches. Ella debería operar el software de parcheo, pero también monitorear constantemente los feeds de noticias relevantes para identificar nuevas vulnerabilidades.

Obstáculos para implementar un parcheo adecuado

En papel, mantener los sistemas de una organización parcheados puede parecer sencillo. Pero, en el mundo real, implementar prácticas de parcheo saludables puede ser muy desafiante. Los siguientes comentarios en hilos de ciberseguridad en Reddit destacan esto.

Resistencia al parcheo

Muchas veces, cuando digo que algo debe ser parcheado, hay resistencia sobre si realmente es necesario hacerlo o no.

Source – tosborne3

Este es sin duda uno de los desafíos más comunes para los profesionales de TI que quieren parchear aplicaciones y herramientas. Muchos usuarios finales no entienden por qué sus dispositivos necesitan ser actualizados, no quieren gastar tiempo instalando parches o temen perder datos.

¿Cómo manejar la resistencia al parcheo?

  • Educar a los colegas sobre lo que protege el parcheo.
  • Comunicar los beneficios del parcheo (incluyendo la mejora en la apariencia y rendimiento de las aplicaciones).
  • Cambiar las políticas organizacionales, permitiendo forzar la instalación de parches cuando sea necesario.

Falta de tiempo

La mayor dificultad es el personal de soporte diciendo que no tiene tiempo para parchear y/o corregir configuraciones.

Fuente – ageoffri

Muchas organizaciones siguen parcheando manualmente sus aplicaciones y endpoints. Para hacerlo sin interrumpir el trabajo de todos, por lo general tienen que hacerlo los fines de semana o de noche. No es sorprendente que esto cause cuellos de botella en los flujos de trabajo de parcheo.

¿Cómo manejar la falta de tiempo para parchear?

Como explicó Thomas en nuestro webinar, la automatización es la clave aquí. Usando herramientas de gestión de parches y activos, puedes implementar parches automáticamente. A menudo, puedes configurar esos parches para que se instalen en momentos no disruptivos (es decir, de noche).

Falta de responsabilidad en el parcheo

Habiendo trabajado con muchas organizaciones sobre este tema, la desconexión más grande es responsabilidad versus rendición de cuentas. Pedir, asignar o incluso rogar no moverá la aguja a menos que esos dos elementos sean tratados a nivel ejecutivo.

Source – pm_sweater_kittens

Sin políticas claras sobre quién es responsable del parcheo y cuándo los usuarios finales deben instalar los parches, las personas simplemente pospondrán o ignorarán las notificaciones de parcheo.

¿Cómo manejar la falta de responsabilidad en el parcheo?

Tener una política adecuada y documentada sobre parcheo es clave aquí – y necesita el apoyo ejecutivo. Los empleados deben saber que no aceptar actualizaciones en sus dispositivos/aplicaciones no es aceptable.

También es vital, como nos dijo Thomas en el webinar, tener una persona designada que esté a cargo del parcheo. Ella debe ser responsable de mantener consistente la implementación de los parches y debe tener la autoridad para hacer cumplir la política entre sus colegas.

Complejidad de la tecnología

Oh Dios, ¿por dónde empezar? Grandes volúmenes de activos, todos con diferentes sistemas operativos y pilas tecnológicas. Obtener cobertura total en la infraestructura… brechas de cobertura. Crear detecciones personalizadas para corregir fallos de proveedores. Altísimas tasas de falsos positivos y benignos de proveedores… Priorizar vulnerabilidades para su remediación.

Fuente – mildlyincoherent

Para organizaciones pequeñas o startups con solo unos pocos dispositivos, el manejo de parches puede ser relativamente sencillo. Pero para empresas grandes o legadas, actualizar miles de dispositivos y aplicaciones en diferentes sistemas operativos puede ser increíblemente complejo y llevar mucho tiempo. Además, los alertas interminables pueden llevar a la parálisis del parcheo también.

¿Cómo manejar la complejidad de la tecnología?

Como dijo Thomas, comienza con una auditoría exhaustiva y mapeo de todos los dispositivos, aplicaciones y endpoints. También ayuda contar con las herramientas adecuadas. El software de gestión de parches que escanea continuamente tu entorno (incluyendo on-premises, nube, BYOD y todos los sistemas operativos) puede hacer el proceso más fácil.

¿Deberías externalizar tu programa de parcheo o hacerlo tú mismo?

Como se destacó en los debates de Reddit anteriores, ejecutar un programa de parcheo por tu cuenta puede ser extremadamente complejo y llevar mucho tiempo. La alternativa es externalizar el parcheo a un proveedor de servicios gestionados. ¿Es esto mejor, o el enfoque DIY (hazlo tú mismo) es más adecuado?

Para Thomas, los beneficios de externalizar son considerables:

Hay muchas ventajas en externalizar sus capacidades de detección y respuesta, y debe entender lo que realmente implica hacerlo internamente. No solo es el costo de la licencia [para el software de gestión de parches], sino que también conlleva trabajo interno.

Al final, depende de la situación específica de su organización. Para algunas empresas, especialmente aquellas con pocos puntos finales, bajo riesgo e infraestructura de TI relativamente sencilla, hacer la gestión de parches internamente puede ser accesible y eficaz. Sin embargo, las empresas más complejas, con tecnología más avanzada y/o presiones regulatorias, a menudo se benefician de la experiencia externa.

Las herramientas que necesita para un programa de parches saludable

Nadie está diciendo que ejecutar un programa de parches sea fácil. Existen muchas complejidades y desafíos prácticos, sin mencionar los costos e incluso los obstáculos relacionados con la cultura organizacional.

Sin embargo, con las herramientas adecuadas, implementar actualizaciones y monitorear su red se vuelve más fácil. El software de gestión de parches de Heimdal le brinda una plataforma única y poderosa que:

  • Ayuda a mapear todos los puntos finales, aplicaciones y dispositivos en su red, visibles en un panel central.
  • Monitorea actualizaciones en todas las plataformas, sistemas operativos, nube y sistemas locales.
  • Prueba nuevos parches en un sandbox seguro basado en la nube y luego los implementa automáticamente según su cronograma.

Aprenda más sobre nuestra solución de gestión de parches o contáctenos hoy mismo para una demostración.

Si le gustó este artículo, síganos en LinkedIn, Twitter, Facebook y Youtube para más noticias y temas sobre ciberseguridad.

Aufiero-Informática
  • Argentina: +54-11-2150-5353
  • Chile: +56-2-2405-3246
  • México: +52-55-8526-3019
  • United States:+1 305 404-5229
  • Brasil: +55-11 5242 0742
  • Perú: +51-1-640-9337
  • Uruguay: +598 0004054432
  • Colombia: +57 333 033 4470
  • ventas@aufieroinformatica.com
  • vendas@aufieroinformatica.com