O que uma montadora de veículos e uma companhia farmacêutica tem em comum com a indústria de software? Produtos passíveis de erros.
O que uma montadora de veículos e uma companhia farmacêutica tem em comum com a indústria de software? Produtos passíveis de erros.
Em maio do último ano a Volkswagen realizou o terceiro maior recall da história no País. Foram 123 mil veículos convocados para revisão do sistema que controla o funcionamento dos componentes eletrônicos dos carros. Um pouco antes, em setembro de 2004, a Merck & Co, gigante farmacêutica, anunciou a retirada do mercado, em todo o mundo, do VIOXX, um medicamento indicado para o tratamento da artrite e dor aguda que, após estudo clínico realizado pela própria fabricante, constatou elevado risco de ataque cardíaco e acidente vascular cerebral nos seus usuários. No primeiro trimestre de 2006, a SANS Institute, relata que foram reportadas mais de 600 vulnerabilidades em softwares diversos.
Se a semelhança entre as companhias ocorre no desenvolvimento de produtos com falha, a correção se mostra tão distante quanto os seus segmentos de mercado.
Através de uma extensa, e bem suprida, rede de concessionárias, a montadora corrige o
problema dos veículos sem onerar os seus clientes e de maneira rápida. No segundo exemplo, a farmacêutica com o auxílio de um canal de distribuição efetivo, impede a venda do produto inseguro ao mesmo tempo em que orienta seus consumidores a adquirirem um medicamento substituto sob supervisão médica. Já nos sistemas de informação a responsabilidade da correção recai quase que totalmente sobre o usuário que perceberá em algum momento que a correção em si pode desencadear problemas maiores que a própria falha a ser reparada.
Neste contexto, surge a necessidade de um modelo de suporte que o mercado começa enxergar. Foi assim com o gerenciamento de recuperação de desastres, vai ser assim com o gerenciamento de correções.
A resposta da Segurança da Informação frente à complexidade e ao enorme volume de
correções vem através do Gerenciamento de Patch, uma proposta sólida, escalável e segura.
A abordagem que consiste em quatro etapas tem como resultado assegurar uma operação eficaz para empresas de todos os portes, tornando a prática padronizada e consistente.
A abordagem que consiste em quatro etapas tem como resultado assegurar uma operação eficaz para empresas de todos os portes, tornando a prática padronizada e consistente.
Em resumo, o processo inicia com a Avaliação que tem por finalidade conhecer o ambiente a ser corrigido. Esta fase trata da auditoria de software e sugere que sem um ambiente padronizado e devidamente documentado o inventário torna-se quase impossível comprometendo todas as fases seguintes do programa.
Neste momento observamos que os recentes esforços feitos em torno da adoção de melhores práticas e estratégias de governança da TI, tal como ITIL e CoBIT, servem de base (senão mandatórios) para o gerenciamento de patch mais eficiente. O ITIL não aborda um processo de gerenciamento de patch, mais que isso, ele cobre as atividades sob as categorias de gerenciamento de mudanças (Change Management), gerenciamento de liberação (Release Management) e gerenciamento da configuração (Configuration Management).
Os benefícios desta abordagem vão além de processos mais repetitíveis, eficientes e
executáveis. Eles alinham o risco de correção com os requerimentos do negócio conduzindo a companhia de um modelo de patch individual (conhecimento como sneakernet) para uma prática documentada, formal e abrangente.
A próxima etapa, Identificação, consiste não apenas em descobrir as atualizações de maneira confiável e rápida, mas também definir a importância das atualizações para fixar sua estratégia de implementação que poderá ser emergencial ou programada. Essas duas categorias determinam o valor de investimento utilizado no programa. Sim, as empresas começam a adotar investimentos diretos no gerenciamento de correções confirmando a idéia do mercado de que, mais que melhores práticas, o gerenciamento de correções se encaminha para um produto.
Nesta etapa evidencia-se uma falha muito comum das organizações bem intencionadas, porém mal assessoradas, que se iniciam no processo de correções. Elas se sustentam em uma ferramenta automatizada de patches sem determinar se a correção devem ou não realmente ser aplicada ao ambiente.
Os prejuízos deste método aparecem à curto prazo quando pode-se observar um aumento
significativo de indisponibilidade de serviços. Já a médio e longo prazos a companhia irá perceber que as atualizações ainda parecem fora de controle quando algumas máquinas
apresentam as correções em dia e outras estão meses atrasadas. O desafio maior é que a
companhia não consegue responder se as máquinas não corrigidas não estão no estado
desejado por alguma razão técnica ou de negócio ou se alguém simplesmente esqueceu de
aplicar as correções exigidas.
A melhor escolha para esta pergunta vem do gerenciamento de risco. Aqui a equação “risco = ameaça x vulnerabilidade x custo” toma peso na discussão de aplicar ou não uma correção.
Classificando níveis de risco logo que a vulnerabilidade é descoberta permite as companhias priorizar o grande volume de trabalho ao mesmo tempo em que mantém o foco nas atualizações de importância para o negócio da empresa.
O terceiro ponto tratado descreve a decisão de implantar e testar a atualização em um ambiente semelhante ao de produção para certificar a qualidade da correção e evitar impactos indesejados nos sistemas e aplicativos críticos aos negócios.
Implantar é a quarta e última fase do modelo, que está relacionada com o desenvolvimento bemsucedido das atualizações de software aprovadas no ambiente de produção, visando atender a todos os requisitos relativos aos SLAs (Nível de Acordo de Serviço).
Podemos observar ao longo dos quatro pontos que o gerenciamento de patch é uma tarefa multidisciplinar que envolve não apenas qualidades técnicas, mas principalmente visão de negócio. A despeito de cada etapa indicar objetivos distintos uma das outras, elas se completam facilitando a definição da estratégia técnica que será utilizada no projeto, tais como a escolha da ferramenta de automatização de correção.
Hoje existem mais de 30 produtos voltados diretamente para a tarefa de automatização de
correções. Produtos estes apoiados por uma comunidade em rápido crescimento e ávida por um processo definitivo e seguro.
Espalhadas por fóruns e listas de segurança da informação, melhores práticas e administração de sistemas, os interessados no gerenciamento de patches, como eles identificam, começam a manifestar-se a favor não apenas de segurança, mas também de disponibilidade de serviço, qualidade na aplicação de correções e retorno de investimento no processo adotado.
Seja qual for a discussão, todos sabem que o erro é inevitável e que a responsabilidade de correção é do usuário. Fazer isto de maneira rápida, confiável, transparente e dentro do investimento disponível é a grande aposta no processo formal de gerenciamento de correção.
