El mes pasado hablaba de la altísima frecuencia de actualización de Apps, motivada en gran medida por actualizaciones de seguridad. Esta vez seguimos con el tema y le toca a la mala calidad de los parches de seguridad del software en general. Nos referimos concretamente a parches incompletos o defectuosos, cuya frecuencia de publicación pueden estar entre dos y tres semanas según qué aplicaciones.
Porque resulta que la aplicación de múltiples actualizaciones para la misma vulnerabilidad cuesta a las empresas tiempo y dinero reales, a la vez que las expone a riesgos innecesarios.
Según Trend Micro, podría estar costando a las organizaciones más de 400.000 dólares por actualización. Un desperdicio que resulta de la combinación del tiempo dedicado a la gestión de los parches, el coste de los recursos humanos necesarios de los especialistas de seguridad, y el número de aplicaciones a parchear.
Si a la mala calidad de los parches de seguridad le añadimos el menor tiempo de explotación, el resultado es verdaderamente explosivo
Este líder global en ciberseguridad lleva informando a través de su equipo ZDI (Zero Day Initiative) sobre más de 10.000 vulnerabilidades a los proveedores de software desde 2005. O sea, que algo de experiencia sí que tiene. Y ahora nos dice que cada vez se parchea peor.
Si combinamos la mala calidad de los parches con que en pocas organizaciones el tiempo de aplicación de los parches es menor que el tiempo de explotación, el resultado es verdaderamente explosivo.
Y aquí no termina el problema. Trend Micro además de calificar de inadecuados los parches, nos alerta sobre la documentación confusa y no fidedigna, que habitualmente acompaña a las actualizaciones.
En su día, la empresa divulgaba sus hallazgos en un plazo aproximado de 180 días. Posteriormente lo rebajó a 120, y acaban de revisar sus políticas según el escenario. 30 días para los casos más críticos en los que se espera explotación, 60 días para los fallos en los que el parche ofrece algunas protecciones, y 90 días para otros casos en los que no se espera una explotación inminente. Ahora sólo queda que los proveedores aprovechen las alertas para ponerse las pilas. Pero ojalá hicieran bien las cosas a la primera.
