La gestión de parches es el proceso de aplicación de las actualizaciones emitidas por los proveedores para cerrar las vulnerabilidades de seguridad y optimizar el rendimiento del software y los dispositivos. La gestión de parches a veces se considera parte de la gestión de vulnerabilidades.
En la práctica, la gestión de parches consiste en equilibrar la ciberseguridad con las necesidades operativas de la empresa. Los piratas informáticos pueden explotar las vulnerabilidades del entorno informático de una empresa para lanzar ciberataques y propagar malware. Los proveedores publican actualizaciones, denominadas "parches", para corregir estas vulnerabilidades. Sin embargo, el proceso de aplicación de parches puede interrumpir los flujos de trabajo y crear tiempos de inactividad para la empresa. La gestión de parches pretende minimizar ese tiempo de inactividad agilizando la implementación de parches.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
La gestión de parches crea un proceso centralizado para aplicar nuevos parches a los activos informáticos. Estos parches pueden mejorar la seguridad, aumentar el rendimiento e impulsar la productividad.
Actualizaciones de seguridad
Los parches de seguridad abordan riesgos de seguridad específicos, a menudo corrigiendo una vulnerabilidad concreta.
Los hackers suelen atacar activos sin parches, por lo que no aplicar las actualizaciones de seguridad puede exponer a una empresa a violaciones de seguridad. Por ejemplo, el ransomware WannaCry de 2017 se propagó a través de una vulnerabilidad de Microsoft Windows para la que se había publicado un parche. Los ciberdelincuentes atacaron redes en las que los administradores no habían aplicado el parche, infectando más de 200.000 ordenadores en 150 países.
Actualizaciones de características
Algunos parches aportan nuevas características a aplicaciones y dispositivos. Estas actualizaciones pueden mejorar el rendimiento de los activos y la productividad de los usuarios.
Correcciones de errores
Las correcciones de errores resuelven problemas menores de hardware o software. No suelen causar problemas de seguridad, pero afectan al rendimiento de los activos.
Minimización del tiempo de inactividad
A la mayoría de las empresas les resulta poco práctico descargar y aplicar cada parche para cada activo en cuanto está disponible. Esto se debe a que la aplicación de parches requiere tiempo de inactividad. Los usuarios deben dejar de trabajar, cerrar la sesión y reiniciar los sistemas clave para aplicar los parches.
Un proceso formal de gestión de parches permite a las organizaciones priorizar las actualizaciones críticas. La empresa puede obtener los beneficios de estos parches con una interrupción mínima de los flujos de trabajo de los empleados.
Conformidad con la normativa
Bajo regulaciones como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Estándar de Seguridad de Datos para la Industria de TarjetaS de Pago (PCI-DSS), las empresas deben seguir ciertas prácticas de ciberseguridad. La gestión de parches puede ayudar a las organizaciones a mantener los sistemas críticos en conformidad con estos mandatos.
La mayoría de las empresas tratan la gestión de parches como un ciclo de vida continuo. Esto se debe a que los proveedores lanzan nuevos parches con regularidad. Además, las necesidades de parches de una empresa pueden cambiar a medida que cambia su entorno informático.
Para delinear las buenas prácticas de gestión de parches que los administradores y usuarios finales deben seguir a lo largo del ciclo de vida, las empresas redactan políticas formales de gestión de parches.
Las etapas del ciclo de vida de la gestión de parches incluyen:
1. Gestión de activos
Para controlar los recursos informáticos, los equipos de TI y seguridad crean inventarios de activos de red, como aplicaciones de terceros, sistemas operativos, dispositivos móviles y terminales remotos y locales.
Los equipos informáticos también pueden especificar qué versiones de hardware y software pueden utilizar los empleados. Esta estandarización de activos puede ayudar a simplificar el proceso de aplicación de parches al reducir el número de tipos de activos diferentes en la red. La estandarización también puede evitar que los empleados utilicen aplicaciones y dispositivos inseguros, obsoletos o incompatibles.
2. Monitorización de parches
Una vez que los equipos de TI y seguridad disponen de un inventario completo de activos, pueden vigilar los parches disponibles, realizar un seguimiento del estado de los parches de los activos e identificar los activos a los que les faltan parches.
3. Priorización de parches
Algunos parches son más importantes que otros, especialmente cuando se trata de parches de seguridad. Según Gartner, en 2021 se registraron 19.093 nuevas vulnerabilidades, pero los ciberdelincuentes solo explotaron 1554 de ellas (enlace externo a ibm.com).
Los equipos de TI y seguridad utilizan recursos como la inteligencia de amenazas para detectar las vulnerabilidades más críticas de sus sistemas. Los parches para estas vulnerabilidades se priorizan sobre las actualizaciones menos esenciales.
El establecimiento de prioridades es una de las principales formas en que las políticas de gestión de parches pretenden reducir el tiempo de inactividad. Al desplegar primero los parches críticos, los equipos de TI y seguridad pueden proteger la red y reducir el tiempo que los recursos pasan fuera de línea para aplicar los parches.
4. Pruebas de parches
En ocasiones, los nuevos parches pueden causar problemas, romper integraciones o no abordar las vulnerabilidades que pretenden corregir. Los hackers pueden incluso secuestrar los parches en casos excepcionales. En 2021, los ciberdelincuentes utilizaron un fallo en la plataforma VSA de Kaseya (enlace externo a ibm.com) para propagar ransomware a los clientes bajo la apariencia de una actualización de software legítima.
Al probar los parches antes de instalarlos, los equipos informáticos y de seguridad pretenden detectar y corregir estos problemas antes de que afecten a toda la red.
5. Implementación de parches
La "implementación de parches" se refiere tanto a cuándo como a cómo se implementan los parches.
Las ventanas de parcheo suelen fijarse en momentos en los que hay pocos o ningún empleado trabajando. La publicación de parches por parte de los proveedores también puede influir en los calendarios de aplicación de parches. Por ejemplo, Microsoft suele publicar parches los martes, un día conocido como "martes de parches" entre algunos profesionales de TI.
Los equipos de TI y seguridad pueden aplicar parches a lotes de activos en lugar de extenderlos a toda la red a la vez. De este modo, algunos empleados pueden seguir trabajando mientras otros se desconectan para aplicar los parches. La aplicación de parches en grupos también ofrece una última oportunidad de detectar problemas antes de que lleguen a toda la red.
La implementación de parches también puede incluir planes para monitorizar los activos después del parcheado y deshacer cualquier cambio que cause problemas imprevistos.
6. Documentación del parche
Para garantizar la conformidad de los parches, los equipos de TI y seguridad documentan el proceso de aplicación de parches, incluidos los resultados de las pruebas, los resultados de la implementación y los activos que aún deben parchearse. Esta documentación mantiene actualizado el inventario de activos y puede demostrar la conformidad con la normativa de ciberseguridad en caso de auditoría.
Esta documentación mantiene actualizado el inventario de activos y puede demostrar la conformidad con la normativa de ciberseguridad en caso de auditoría. Algunas empresas subcontratan el proceso por completo a proveedores de servicios gestionados (MSP). Las empresas que gestionan los parches internamente utilizan software de gestión de parches para automatizar gran parte del proceso.
La mayoría de los programas de gestión de parches se integran con sistemas operativos comunes como Windows, Mac y Linux. El software monitoriza los activos en busca de parches faltantes y disponibles. Si hay parches disponibles, las soluciones de gestión de parches pueden aplicarlos automáticamente en tiempo real o según un calendario establecido. Para ahorrar ancho de banda, muchas soluciones descargan los parches en un servidor central y los distribuyen desde allí a los activos de red. Algunos programas de gestión de parches también pueden automatizar las pruebas, la documentación y la restauración del sistema si un parche funciona mal.
Las herramientas de gestión de parches pueden ser software independiente, pero a menudo se proporcionan como parte de una solución de ciberseguridad más amplia. Muchas soluciones de gestión de vulnerabilidades y superficies de ataque ofrecen características de gestión de parches, como inventarios de activos e implementación automática de parches. Muchas soluciones de detección y respuesta de endpoints (EDR) también pueden instalar parches automáticamente. Algunas organizaciones utilizan plataformas de gestión unificada de endpoints (UEM) para parchear dispositivos locales y remotos.
Con la gestión automatizada de parches, las organizaciones ya no necesitan monitorizar, aprobar y aplicar manualmente cada parche. Esto puede reducir el número de parches críticos que se quedan sin aplicar porque los usuarios no encuentran un momento adecuado para instalarlos.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de los fallos que podrían exponer sus activos más críticos.
IBM Security QRadar EDR aprovecha niveles excepcionales de automatización inteligente e IA para ayudar a detectar y corregir amenazas conocidas y desconocidas casi en tiempo real.
Habilite y proteja todos sus dispositivos móviles, aplicaciones y contenidos con la plataforma UEM IBM Security MaaS360 with Watson.
La búsqueda de amenazas, también conocida como caza de ciberamenazas, es un enfoque proactivo para identificar amenazas previamente desconocidas, o en curso no remediadas, dentro de la red de una organización.
Un plan formal de respuesta a incidentes permite a los equipos de ciberseguridad limitar o prevenir los daños derivados de ciberataques o violaciones de la seguridad.
La gestión de amenazas es un proceso empleado por los profesionales de la ciberseguridad para prevenir ataques, detectar ciberamenazas y responder a incidentes de seguridad.