Las políticas de seguridad sólidas siempre han sido importantes. Con el estado interconectado de las empresas modernas, los líderes de TIC están más preocupados que nunca. Esta marea creciente también ha provocado un pánico equivocado y una apuesta condenada por cubrir todas las bases con algunos subproductos desafortunados.
(foto: cortesía de Rimini Street).
Muchos piensan que no hay alternativas al carrusel de pagar el “impuesto” anual de mantenimiento y aplicar parches de software disruptivos continuos. Esto ignora la naturaleza del panorama moderno de amenazas a la seguridad. Se debe comenzar por comprender que la mayoría de las firmas de software empresarial no son empresas de seguridad y probablemente nunca lo serán. Los parches de software proporcionados por el proveedor de ERP generalmente son simples correcciones de errores. Casi siempre son una forma glorificada (y lucrativa) de código incorrecto.
Por lo general, los proveedores de software revisan los errores para determinar la validez y la importancia. Puede ser un proceso arduo y largo. Los proveedores deben identificar todas las áreas posibles donde se utilizó la biblioteca o base de código afectados, qué plataformas se ven afectadas y su historial. Entonces los proveedores pueden darse cuenta de que un error ha existido durante bastante tiempo, a menudo hasta 20 o incluso 30 años. De hecho, muchas veces el mismo problema se repara nuevamente años después, ya que es muy común “pasar por alto un detalle”.
Pero eventualmente se lanza un parche y aquí es donde comienza el verdadero dolor para las organizaciones. La aplicación de parches suele ser un proceso largo y complicado, especialmente para las grandes plataformas empresariales. En ellas es probable que se rompan las amplias personalizaciones hechas por la empresa por algunos de los subproductos inesperados del comportamiento de ese parche.
Bájate de la rueda de hámster de parches de seguridad
Incluso si una empresa tiene una política de parcheo inmediato (algo muy poco común; probablemente es anual o, en el mejor de los casos, mensual), puede pasar fácilmente un año antes de que el parche se descargue, instale, pruebe a través del entorno y finalmente se ponga en producción. Los clientes deben esperar a que se publiquen los parches, realizar pruebas de regresión rigurosas, ejecutar control de calidad, realizar pruebas de usuario final y reparar las cosas que los parches rompen, multiplicadas por cada instancia de aplicación o base de datos de la empresa. Todo esto consume mucho tiempo, es arriesgado, perturbador y costoso.
Y luego, cuando vuelve a aparecer algo muy similar, es hora de revivir toda la rueda de hámster. Los proveedores de software generalmente solo restringen ciertos comandos. Éstos con frecuencia son reemplazados por el siguiente comando en la lista, y los clientes se ven obligados a repetir este ciclo cientos de veces.
Más allá de las cosas que se han parcheado, piensa en los grandes casos de seguridad en los medios a lo largo de los años. Marriott, Target, Adult FriendFinder, eBay… ninguno se resolvió con un parche de proveedor. Es más probable que estas y otras empresas hayan sufrido por la falta de atención a configuraciones débiles, amenazas internas, acciones administrativas laxas, políticas no aplicadas y similares. Estos modernos escenarios de amenazas están haciendo que los clientes de ERP se pregunten si están realmente seguros confiando en los parches de los proveedores para sus políticas de seguridad.
La realidad es que los parches de los proveedores son complejos. Incluso cuando se aplican, tienden a tener un alcance limitado porque solo abordan el problema que se descubrió en la naturaleza y no abordan la debilidad en su conjunto.
Debe haber (y hay) una mejor manera.
El panorama de seguridad más amplio
Las soluciones de seguridad modernas abordan casi todas las enumeraciones de debilidades comunes aplicables, y no solo los puntos de exposición individuales. Por ejemplo, en lugar de desmantelar un solo problema de inyección de SQL e introducir vulnerabilidades de sintaxis individuales (estrategia de parche del proveedor), las soluciones modernas mitigan las debilidades de inyección de SQL en su conjunto.
Hoy en día, los CISO requieren estrategias de seguridad modernas y más rentables, como protecciones de bases de datos en memoria o autoprotección en tiempo real para middleware y aplicaciones. Esas y otras técnicas modernas ofrecen formas mucho más efectivas y proactivas de abordar la higiene de la seguridad de pilas de software empresarial, todo con reducciones masivas en el tiempo de inactividad y la interrupción del negocio. Los CISO más inteligentes aprovechan el uso de estas tecnologías como un control común o control de compensación, según corresponda, para cumplir o superar las expectativas de los auditores de seguridad cuando la aplicación de parches es demasiado impráctica o incluso imposible para la empresa.
