2007061003. La gestión de parches, la solución para actualizar de forma ágil los sistemas

Cuando se les menciona el término “downtime” o tiempo de inactividad del sistema a la mayoría de los directores de sistemas o CIOs en su acrónimo inglés, las imágenes que pasan por sus mentes normalmente son las de un desastre. Un fallo de potencia que afecta al centro de datos, un excavación que accidentalmente saca los enlaces de telecomunicaciones o un servidor caído que afecta a una aplicación crítica.
Todos estos escenarios funestos pueden causar muchas preocupaciones tanto a los negocios como al personal de TI que da soporte a la organización, pero muchos se sorprenderían de la cantidad de causas que pueden interrumpir los servicios.
Los periodos de inactividad planificados cubren todas las pequeñas tareas de mantenimiento y el trabajo de actualización que el departamento de sistemas de información tiene que llevar a cabo para mantener en orden los sistemas de la organización, como los parches de sistema operativo y actualizaciones de las aplicaciones.
Cuando se observa el impacto de cualquier tarea, no parece que sea más que una interrupción real para los usuarios, pero cuando esas interrupciones se analizan durante todo un año de servicio, resulta una cantidad importante de tiempo durante el que los sistemas no están disponibles mientras que los usuarios pueden sentirse ociosos. Multiplique esto por el número de aplicaciones y de sistemas al que el equipo de TI tiene que dar soporte, y el nivel de tiempo de inactividad que una organización puede afrontar en potencia, es una cuestión seria.
Por tanto, reducir la cantidad de tiempo que las organizaciones gastan para parchear es una de las mejores vías para rebajar los índices de productividad perdida durante un tiempo de inactividad planificado. A la inversa, significa que la planificación para parches y actualizaciones se convierte en algo tan importante como su puesta en marcha.
Los proveedores hacen todo lo posible para ayudar a este proceso de planificación y aliviar el nivel de interrupción a clientes: Los “Match Tuesdays” de Microsoft son un ejemplo de un proveedor que saca un conjunto de parches en uno para minimizar la cantidad de tiempo que los sistemas no están disponibles. Aunque algunas actualizaciones sólo tendrán unas advertencias mínimas asociadas, la mayoría cambiará a intervalos regulares así que es un factor que tiene que ser tenido en cuenta cuando se piensa en continuidad de negocio a largo plazo.
La gestión de parches, considerada como el proceso de identificación, descarga, verificación y distribución de actualizaciones para los sistemas operativos y las aplicaciones, no es una tarea trivial. De hecho, determinar qué parches se necesitan en cada entorno concreto y su aplicación puede ser un reto, ya que aplicar una actualización inadecuada en un equipo o no aplicarla en un entorno crítico puede comprometer a toda la organización.
Pero actualizar un sistema no abarca solamente la sustitución de unos archivos por otros, sino que los profesionales del departamento de TI tendrán también que controlar las interacciones con el resto de sistemas y aplicaciones, y las versiones de estos.

Consejos prácticos para una política adecuada

Siendo un mal necesario, cada vez son menos las organizaciones que descuidan las actualizaciones y los parcheados, una vez que se ha asumido la idea de que la gestión de parches equivale a gestionar los riesgos dentro de una organización. Aquí van algunos consejos:
1- La parte más importante de cualquier sistema de gestión de parches es, por tanto, probar la actualización para ver que produce los beneficios que se le suponen, y asegurarse de que no hay efectos imprevistos sobre los sistemas de tecnología existentes. Disponer de un entorno de pruebas que replique la infraestructura de TI es caro, pero merece la pena una inversión extra si se compara con el coste de un parche que no trabaja o hace que no funcione una aplicación crítica.
2- Otro enfoque es emplear la inversión en continuidad de negocio existente de la organización de una forma más eficiente, por ejemplo, si una empresa ha invertido en un centro de recuperación de desastres, también puede utilizarse para poner en marcha el entorno de producción mientras el site primario está actualizándose. Una vez que el entorno de producción está copiado y funcionando, los usuarios se pueden transferir de nuevo. Aunque habrá cortes mientras los sistemas se están cambiando, es un tiempo de inactividad menor que si los sistemas están caídos en su totalidad.
3- Ser capaces de planificar las horas de trabajo del grupo de trabajadores es otro acercamiento para reducir al mínimo el impacto de tiempo de inactividad planificado. Por ejemplo, el coste de pagar al personal para que trabaje fuera de las oficinas en esas ocasiones puede ser también caro, pero debería de ser un gasto incluido dentro de cualquier plan de continuidad de negocio que se lleve a cabo. El personal probablemente trabajará más tiempo que sus horas asignadas en cualquier caso, así que reconocerlo será positivo para subir la moral del equipo. En algunas organizaciones, en particular aquellas con trabajadores en diversas partes del mundo, no podría haber un tiempo óptimo para que esto ocurra, así que la actualización tendrá que ser advertida previamente.
En definitiva, hay algunas cosas que no inevitables para el director de sistemas, pero reducir los quebraderos que supone parchear el sistema es posible, y con la planificación, involucrando a todas las comunidades de usuarios finales relevantes y una buena gestión, la presión de mantener los sistemas actualizados disminuye.