Digan lo que digan, los sistemas que no se actualizan regularmente están muy expuestos a los ataques cibernéticos. ¿Quién no recuerda WannaCry? Este ransomware ilustra perfectamente los riesgos que presentan las estaciones de trabajo vulnerables y, más de tres años después, su espectro continúa presente entre la bruma, apareciendo de forma recurrente bajo otras formas como SMBGhost, pero siempre con un mismo fin: explotar vulnerabilidades en Windows para la ejecución remota de código.
Índice de temas
Lograr la convergencia entre la ciberseguridad y las necesidades operacionales
Las actualizaciones son objeto de un recio desafío, con la doble prioridad de garantizar la seguridad y de tener en cuenta las limitaciones operacionales inherentes a cada organización. Aunque las actualizaciones existen para corregir errores y vulnerabilidades, a veces también traen consigo su justa parte de limitaciones. Por ejemplo, en el sector industrial y de OT pueden tener efectos indeseables -como paradas prolongadas de la producción- por lo que los ciclos de mantenimiento asociados a la aplicación de parches deben prepararse y programarse muy cuidadosamente.
Fuera del mundo industrial, algunas actualizaciones pueden perjudicar la funcionalidad y el rendimiento al provocar que un sitio web no esté disponible o al reducir la productividad de los usuarios durante un tiempo determinado. Al considerar todos estos aspectos, la cuestión de las actualizaciones parece tan compleja como paradójica.
¿Deben aplicarse las actualizaciones?
Ciertamente, aunque siguiendo un plan que permita identificar y determinar las limitaciones operacionales y los entornos de trabajo de la organización.
Las actualizaciones pueden resultar extremadamente complejas o incluso imposibles en ciertos casos, por lo que el control y la planificación anticipada ayudarán a minimizar los riesgos. De igual modo, es importante entender que la actualización automática de las estaciones de trabajo básicas utilizadas para las tareas de oficina tradicionales no funcionará en un entorno industrial crítico. En este caso, será necesario diseñar un entorno de prueba que facilite la evaluación del impacto de la actualización, a fin de evitar cualquier perturbación del Sistema Operativo (SO). Además, algunas actualizaciones pueden causar que la aplicación sea incompatible con un sistema más antiguo, haciendo imposible la aplicación del parche.
Hay aplicaciones comerciales más tradicionales que solo funcionarán en SO obsoletos
También, En este caso, los desarrolladores de software deberán apoyar a las empresas en la aplicación de sus actualizaciones, encontrar la forma de aislar los sistemas afectados y filtrar sus comunicaciones en la medida de lo posible para reducir los riesgos a la espera de una futura migración. Es conveniente recordar que no instalar las actualizaciones significa dejar los sistemas informáticos totalmente abiertos a los ciberataques.
Promover una “cultura de actualización”
Aunque la importancia crítica de las actualizaciones es algo que cada vez más empresas comprenden, algunas siguen sin percibir los riesgos y sienten que no tienen por qué verse afectadas por un ataque cibernético. Sobre todo, en el mundo OT, donde la “cibercultura” aún no está lo suficientemente desarrollada, es de importancia estratégica que los desarrolladores de software y proveedores apoyen a sus clientes para ayudarles a adoptar esta cultura.
Para simplificar este proceso, podría ser útil, por ejemplo, presentar ejemplos concretos y dar amplia publicidad a casos reales, en los que se hayan explotado vulnerabilidades críticas. Además de la sensibilización, estos actores también deberían apoyar los procesos de actualización y ser muy precisos al emitir un nuevo parche para orientar al cliente, para que este pueda identificar claramente si se trata de una corrección de errores o de un parche de vulnerabilidad. En cierta medida, el fabricante debe justificar las actualizaciones propuestas y presentar los riesgos asociados para tranquilizar a las empresas, ya que de una forma u otra el cliente siempre estará tentado de priorizar la producción por encima de todo lo demás.
Los responsables de TI también juegan un papel clave dentro de este proceso. Las actualizaciones y sus procedimientos asociados (frecuencia, decisión de activar o no las actualizaciones automáticas, etc.) son responsabilidad de los departamentos de TI, y deben ser gestionados y centralizados por ellos y no por los usuarios. Los equipos informáticos son los más indicados para gestionar correctamente los problemas que estas puedan plantear, evaluar su criticidad, explicar dudas y proporcionar la mejor supervisión para su despliegue.
Teniendo en cuenta estos factores, es aconsejable promover esta “cultura de actualización” para que las empresas puedan gestionar con éxito esta etapa sin degradar sus capacidades de producción. Se trata de una condición sine qua non para contar con entornos, equipos y aplicaciones seguros, siempre actualizados y cubiertos por los últimos parches de seguridad.