Prácticamente todos los coches de pasajeros y vehículos comerciales que tienen asientos también tienen cinturones de seguridad. Y hay una gran cantidad de investigaciones que demuestran que los cinturones de seguridad salvan vidas y reducen las lesiones relacionadas con los choques. Por ejemplo, según los Centros para el Control y la Prevención de Enfermedades (CDC) de EE. UU., "Los cinturones de seguridad reducen las lesiones graves relacionadas con los choques y las muertes a casi la mitad".

Parches de software: El cinturón de seguridad de la ciberseguridad.Una cifra significativa, dado que el CDC estima que "más de 2,2 millones de conductores y pasajeros adultos fueron atendidos en urgencias como resultado de haber resultado heridos en accidentes automovilísticos en 2012" y que "las lesiones no fatales en los accidentes resultaron en más de 50.000 millones de dólares en gastos médicos y de pérdida de trabajo de por vida" en ese mismo año.

Sin embargo, cada año, un triste porcentaje de personas en accidentes automovilísticos mueren o resultan gravemente heridas porque no llevaban puesto el cinturón de seguridad.

Imagine cuánto más alto sería ese porcentaje de muertes y lesiones si los cinturones de seguridad no estuvieran en todos los vehículos. ¿Qué pasaría si cada propietario de un vehículo tuviera que investigar y comparar soluciones de cinturones de seguridad, seleccionarlas, comprarlas, instalarlas y luego asegurarse de que siguieran funcionando y estuvieran actualizadas?

Ante tales desafíos, ¿la mayoría de los propietarios de vehículos decidiría saltarse los gastos y las molestias y prescindir de los cinturones de seguridad? Eso parece muy poco probable, dado lo que se sabe sobre el aumento de los riesgos de conducir o viajar sin ellos.

Pero por diversas razones, ninguna de las cuales tiene sentido lógico o financiero, muchas organizaciones todavía no invierten en la automatización y los procesos de parcheo.

De alguna manera, los dirigentes de esas organizaciones deciden que es más fácil, más barato, o ambas cosas, seguir haciendo negocios con sistemas que saben que están desprotegidos o desamparados, en lugar de proteger esos sistemas adecuadamente. Esto es cierto incluso cuando conocen la magnitud del riesgo y han sido testigos de que empresas homólogas sufren significativamente (y públicamente) por asumir riesgos similares.

Parches: Claramente valiosos, pero desplegados de manera inconsistente.

En lo que respecta a la seguridad informática efectiva, es difícil exagerar el poder de los procesos de parcheo proactivos (y las herramientas que los respaldan). La Dirección de Señales de Australia, el análogo de ese país a la Agencia de Seguridad Nacional de los Estados Unidos, estima que por lo menos el 85% de los ciberataques dirigidos pueden prevenirse mediante cuatro simples pasos:

  • Aplicando listas blancas.
  • Parcheo de aplicaciones.
  • Parcheo de los sistemas operativos.
  • Restricción de los privilegios administrativos.

Y el valor de los parches es aparentemente muy conocido entre aquellos que se identifican como expertos en seguridad. En julio de 2015, la buena gente de Google publicó una investigación basada en encuestas a 231 expertos en ciberseguridad y a 294 "usuarios típicos de Internet" sobre cómo protegen los datos que les importan. Entre los expertos, la instalación de actualizaciones de software fue la principal medida de protección citada, por delante de las contraseñas fuertes y la autenticación de dos factores. Alrededor del 35% de los expertos encuestados calificaron las actualizaciones de software como importantes, en comparación con sólo el 2% de los no expertos, que se centraron en cambio en el software antivirus y las contraseñas seguras.

En muchos casos, la aplicación efectiva de parches no sólo es valiosa, sino que es esencial para hacer negocios. Como señala HP en un informe de seguridad de junio de 2015 titulado The Hidden Dangers of Inadequate Patching (Los peligros ocultos de la aplicación inadecuada de parches), "el cumplimiento de los estándares de la industria, así como de diversas normativas gubernamentales, también requiere una sólida estrategia de servicio y aplicación de parches". Entre los ejemplos de reglamentos que requieren la gestión de parches se encuentran el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) y la Directiva Europea de Seguridad de las Redes y la Información (NIS).

Sin embargo, a pesar de su evidente valor para los esfuerzos de seguridad, la aplicación de parches sigue siendo en gran medida un problema sin resolver. El Informe de Investigaciones sobre la Violación de Datos de Verizon de 2015 (DBIR) encontró que "el 99,9% de las vulnerabilidades explotadas se vieron comprometidas más de un año después de que se publicaran las vulnerabilidades y exposiciones comunes (CVE)". Aún más preocupante, el mismo informe encontró que "Muchas vulnerabilidades existentes permanecen abiertas, principalmente porque los parches de seguridad que han estado disponibles por mucho tiempo nunca fueron implementados. De hecho, muchas de las vulnerabilidades se remontan a 2007, un lapso de casi ocho años".

Una alerta de abril de 2015 publicada por el Equipo de Preparación para Emergencias Informáticas de EE.UU. (US-CERT) enumera lo que el US-CERT encontró como las "30 principales vulnerabilidades de alto riesgo". El más antiguo de los CVEs y boletines de seguridad relacionados con esas 30 principales vulnerabilidades data de 2006.

Por qué el parche permanece roto y cómo arreglarlo.

Como dijo Google en su investigación mencionada anteriormente, "Las actualizaciones de software... son los cinturones de seguridad de la seguridad online; te hacen más seguro, punto. Y aún así, muchos no expertos no sólo las pasan por alto como una mejor práctica, sino que también se preocupan erróneamente de que las actualizaciones de software son un riesgo de seguridad".

Equivocada o no, esa preocupación es una de varias que también comparten algunos expertos. La investigación de HP destaca varias razones por las que, de otro modo, los empresarios preocupados por la seguridad no aplican parches o confían en ellos.

  • Los parches rompen las cosas.
  • Los parches introducen problemas de seguridad.
  • Los parches no funcionan como se prometió.
  • Los parches incluyen "características adicionales" no documentadas/no deseadas.
  • Los despliegues de parches "silenciosos" suelen perturbar a los usuarios o confundir los esfuerzos de solución de problemas.

Más allá de estas preocupaciones, el descubrimiento y la priorización de todos los sistemas que necesitan o pueden necesitar parches puede ser un desafío. Esos desafíos pueden verse exacerbados por el apoyo a los usuarios de TI móviles, remotos o itinerantes.

Afortunadamente, las soluciones modernas de administración de parches abordan todas las preocupaciones mencionadas anteriormente. Por ejemplo, es poco probable que los parches que se prueban e inspeccionan minuciosamente antes de ser entregados a su organización rompan cosas, introduzcan problemas de seguridad, no funcionen como se ha prometido o incluyan características no deseadas. Las soluciones de gestión de parches que son suficientemente configurables pueden entregar parches sin molestar a los usuarios ni interrumpir las operaciones comerciales. Y las soluciones modernas pueden desplegar y administrar parches para todos los sistemas operativos más críticos de su organización y aplicaciones de terceros.

Para aquellos que buscan asegurar entornos más grandes y complejos, puede ser útil una metodología consistente para establecer prioridades de parches impulsadas por el negocio. El desarrollo y la ejecución de esa metodología debe basarse en los requisitos y objetivos empresariales específicos. Sin embargo, no es necesario crearlos desde cero. Forrester Research, por ejemplo, ofrece a sus clientes lo que denomina su "proceso de parcheo prioritario" ("P3").

ISACA es una asociación comercial de tecnología de la información sin fines de lucro, conocida anteriormente como la Asociación de Auditoría y Control de Sistemas de Información. En su boletín de febrero de 2014, ISACA ofrece un resumen del proceso en el artículo "4 Consideraciones durante el proceso de gestión de parches".

  • Estimar la dificultad de los ataques mediante el uso de modelos predictivos de amenazas para identificar sus activos más vulnerables y predecir cuán difícil sería ponerlos en peligro.
  • Medir los posibles efectos de una explotación en cada activo, basándose en parte en el tipo y la sensibilidad de los datos que residen en ese activo y a los que se accede.
  • Medir el llamado "riesgo intrínseco" de cada vulnerabilidad, basándose en factores tales como si ya existe una explotación de esa vulnerabilidad y la maldad del comportamiento de esa explotación.
  • Asignar la prioridad de los parches en función de la clasificación y evaluación del riesgo, guiándose por las tres estimaciones y mediciones recomendadas.

Todo esto es una parte esencial de la gestión eficaz de los parches, pero es sólo una parte de todo el proceso. La investigación de HP identifica varios otros pasos requeridos.

  • Descubrimiento preciso y completo de todos los bienes.
  • Determinación de los bienes que deben protegerse y del proceso que debe utilizarse para proteger cada uno de ellos.
  • Identificación y compromiso constante con proveedores fiables de los parches necesarios (que pueden requerir suscripciones a listas de correo electrónico o seguimiento de proveedores en las redes sociales).
  • Determinación de la mejor manera de instalar y administrar los parches necesarios, sobre la base de factores como los costes de personal y de soluciones automatizadas, las tasas de fallo de los parches y el tiempo de despliegue.

Otros ejemplos de estrategias de priorización de parches y recomendaciones de ejecución pueden obtenerse de numerosas fuentes, desde empresas de investigación hasta proveedores de soluciones de gestión de parches y sus socios integradores. Sin embargo, es muy probable que pueda mejorar significativamente la gestión de parches en su empresa si no dispone de tales recursos. Un buen comienzo hacia una mejor aplicación de parches comienza por comprometerse a identificar, evaluar, implementar y administrar los parches para sus sistemas y aplicaciones más importantes de manera más consistente que en la actualidad.

Sí, los parches pueden romper cosas o interrumpir la productividad del usuario. Sí, a veces los parches incluso introducen nuevas vulnerabilidades de seguridad. Pero nada de esto justifica que no se apliquen parches de manera oportuna y completa. De hecho, estos y otros desafíos abogan firmemente por un enfoque proactivo, estratégico y operativo de la gestión de parches específicamente y para mejorar la ciberseguridad de forma más general. Ese enfoque comienza con la elaboración y el perfeccionamiento de los procesos para establecer prioridades y aplicar los parches de manera coherente y eficaz, y luego se seleccionan los instrumentos que mejor se adapten a la aplicación de esos procesos.

La gestión integral y eficaz de activos, sistemas y servicios requiere que los activos, sistemas y servicios sean completa y fiablemente seguros. Y la seguridad completa, eficaz y centrada en el usuario comienza con una gestión de parches completa y eficaz.

Cómo puede ayudar Avast Business.

Los cinturones de seguridad combinan la protección con la capacidad de llegar a lo que necesitas. Avast Business cuenta con las herramientas y el talento que usted necesita para permitir una gestión de parches completa, consolidada y automatizada en toda su organización.

Avast Business ofrece una protección de varias capas para proteger a sus usuarios y recursos informáticos contra las amenazas más sofisticadas. Las soluciones incluyen antivirus de última generación, prueba de parches automatizada, implementación y gestión para sistemas Microsoft Windows y aplicaciones de terceros, respaldo en la nube, puertas de enlace web seguras, acceso a la red sin confianza y mucho más.

Nuestras soluciones están integradas en una única plataforma de seguridad. Esto permite una rápida automatización de las políticas de seguridad y de gestión de TI, y ofrece una visibilidad sin igual en todas las actividades de seguridad y gestión de TI.

La plataforma de seguridad de Avast Business también ofrece informes completos y configurables, así como opciones de panel de control. Éstas ayudan a agudizar la visibilidad de los riesgos y amenazas, facilitar el cumplimiento de las normas y políticas y mejorar su postura general en materia de seguridad. Para más información...

Avast Business Patch Management