SEGURIDAD | Artículos | 01 JUN 2006

La incorrecta gestión de los parches de seguridad puede provocar graves daños

El 45 por ciento de las empresas no está protegida contra los ataques informáticos
Silvia Hernández.
La seguridad informática no puede basarse sólo en las medidas que se ponen en su implementación. Las amenazas surgen a cada momento y es fundamental que las soluciones de seguridad se actualicen constantemente. De hecho, ese lapso de tiempo transcurrido entre que la amenaza ya se encuentra en la Red hasta que se aplican los parches correspondientes es uno de los mayores peligros de seguridad a los que las empresas se enfrentan. En realidad, según un estudio de McAfee, dirigido por Ipsos Research, el 45 por ciento de las empresas encuestadas afirmaron que su infraestructura informática nunca está protegida al cien por cien frente a las vulnerabilidades.

Una ventana de vulnerabilidad es el período de tiempo que transcurre desde que se anuncia una vulnerabilidad de seguridad informática hasta que se lanza un ataque dirigido a esa vulnerabilidad concreta. En los últimos tiempos hemos visto disminuir ese tiempo hasta el punto de que algunos ataques se producen el mismo día en que se ha anunciado la vulnerabilidad. No se pueden obviar los daños que estas vulnerabilidades pueden causar ya que, de acuerdo con el Cyber Security Bulletin 2005, en 2005 se informó de 5.198 vulnerabilidades, pudiendo crear cada una de ellas problemas en cualquier red empresarial que no estuviese protegida adecuadamente.
Esta protección pasa, generalmente, por la instalación de parches que solventen la vulnerabilidad. Evidentemente, cuánto más tiempo pase hasta que se instala ese parche, más fácil es que cualquier ataque lanzado contra esa vulnerabilidad concreta provoque los daños para los que fue creado. Hasta hace un tiempo, lo habitual es que el parche estuviese disponible antes del primer ataque pero el crecimiento del número de diferentes sistemas usados por las empresas y el tamaño cada vez mayor de las redes informáticas está creando una segunda ventana de vulnerabilidad. Esta denominación se utiliza en referencia al tiempo que transcurre entre la publicación de un parche por el proveedor y el momento en que la organización lo ha aplicado plenamente. Es en este lapso de tiempo cuando las empresas están más desprotegidas ya que los ataques ya existen como tales y no sólo como posible amenaza. En este sentido, la gestión de parches se ha convertido en una de las labores principales de los departamentos informáticos de las empresas. Bien sea en el propio desarrollo y aplicación del parche o en su mera instalación una vez que ha sido publicado por el proveedor.

Gestión de parches
Con objeto de conocer mejor la situación de estas ventanas de vulnerabilidades, McAfee encargó a Ipsos Research una investigación en seis países europeos (Alemania, España, Francia, Italia, Países Bajos y Reino Unido) entre 600 profesionales informáticos de organizaciones con más de 250 empleados. El objetivo de esta investigación era comprender la magnitud del problema al que se enfrentan las empresas a la hora de gestionar los parches y, en este sentido, el principal resultado que se puede extraer del informe de Ipsos Research es que un 45 por ciento de los encuestados opinan que su infraestructura informática nunca está protegida al cien por cien.
De hecho, la mayor parte de los problemas provienen de la incorrecta gestión de los parches ya que para muchos de los gusanos y virus más extendidos en los dos últimos años había parches disponibles antes de que se produjeran los mayores daños. Esto se debe a que la gestión de los parches es un proceso largo al que hay que dedicar muchos esfuerzos. Así, una vez que un proveedor anuncia una nueva vulnerabilidad y se publica un parche para ella, el departamento TI debe asegurarse de aplicar plenamente el parche en toda la red. Para ello, hay que realizar un inventario actualizado de todos los sistemas conectados a la red y de qué equipos utilizan qué programas. Sólo de este modo es posible ver dónde son necesarios los parches. Al mismo tiempo, es necesario que se pruebe el parche para asegurarse de que no afecta al sistema o de que no causa daños en él.
A este respecto, un aspecto llamativo del estudio encargado por McAfee es que hay un porcentaje muy significativo de profesionales informáticos que desconocen el volumen de parches de su red. Un porcentaje que, además, aumenta cuanto mayor es la empresa. Concretamente, el 36 por ciento de los encuestados desconocían el número de parches que se habían aplicado en seis meses, siendo esta cifra del 43 por ciento en profesionales informáticos procedentes de empresas con más de 1.000 empleados. Si desglosamos estos datos por países encontramos que España es el país en el que mayor conocimiento existía, con sólo un 28 por ciento de encuestados que afirmaron desconocer cuántos parches había en su red. En el otro extremo se encuentra Francia con un porcentaje de desconocimiento del 45 por ciento. En cuanto al número de parches aplicados, el término medio en Europa refleja 410 por empresa en los primeros seis meses de 2005, lo que equivale a 17 parches a la semana.

Tiempo y costes
Tal y como hemos mencionado, la mayor parte de los problemas se producen porque las compañías tardan demasiado en implantar un parche plenamente. En este sentido, entre los encuestados, un 27 por ciento afirmaba tardar 48 horas o más en proteger la red en su totalidad mientras que un 19 por ciento aseguraba tardar más de una semana. En este aspecto concreto, España vuelve a destacar al ser la que tiene el porcentaje más bajo, 8 por ciento, entre todas aquellas compañías que pueden llegar a demorar más de una semana la correcta implantación de los parches. En el caso contrario se encuentra Francia con un 27 por ciento de empresas que afirman necesitar más de siete días para subsanar las vulnerabilidades.
Este estudio también quiso poner de manifiesto el tiempo que dedican las organizaciones a investigar vulnerabilidades y parches. En este caso, el punto intermedio desvela que uno de cada cinco profesionales informáticos dedica una hora o más al día a investigar vulnerabilidades y parches, siendo Italia el país con mayor inversión de tiempo. Por contra, en los países bajos apenas un 14 por ciento de los encuestados afirmó dedicar más de una hora al día a esta investigación.
Si dividimos por sectores verticales, encontramos que donde se emplea más tiempo en esta labor es en transporte, comunicaciones y servicios públicos con un 26 por ciento de profesionales que pasan más de una hora al día en la investigación de vulnerabilidades y parches. A continuación se sitúan, con un 22 por ciento, los sectores de servicios y minería/construcción.
Si la norma general es que en las organizaciones se desconozca el número de parches aplicados, la mayoría de los profesionales informáticos, el 58 por ciento, tampoco sabría cifrar el coste que le supone a sus empresas la gestión de parches. Aún así, el 54 por ciento de los encuestados afirmaban que dedicarán más recursos a la gestión de parches en el futuro. Diferenciando por países, un 68 por ciento de las empresas alemanas remarcaban su intención de incrementar la inversión en este tema en particular. Por contra, las organizaciones italianas parecen las menos preocupadas por las vulnerabilidades ya que menos de la mitad, un 42 por ciento, reconocieron su intención de aumentar los recursos.

Soluciones
Aún sin aumentar los recursos, según pone de m

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios