Una de las razones por las que en las empresas debemos estar atentos a las actualizaciones de nuestros programas y sistemas operativos es la seguridad de nuestros datos y sistemas. No sólo se trata de mejorar la funcionalidad de un programa con una nueva versión, sino que necesitamos mantener la seguridad de los mismos a medida que se van descubriendo vulnerabilidades.
En muchas empresas es algo que se deja totalmente de lado. No se instalan las actualizaciones, muchas veces por desconocimiento, otras por falta de tiempo o en ocasiones por no disponer de un sistema centralizado para las mismas. Esto es independiente del tipo de sistema operativo que utilice nuestra organización y los programas que tengamos.
Cada sistema operativo tiene unas normas de actualización. Windows, por ejemplo, lanza sus boletines de seguridad los segundos martes de cada mes y con ellos se parchean las vulnerabilidades, lo pequeños agujeros que podrían provocar en muchos casos que un atacante pudiera hacerse con el control de nuestros equipos. ¿Se puede una empresa permitir tener sobre su cabeza este riesgo?
Muchos de los problemas que han sufrido algunos equipos en los últimos tiempos han sido problemas derivados de los programas transversales, que se instalan en cualquier plataforma, y no siempre son parcheados por los responsables en todas la plataformas. Es decir, una vez descubierta la vulnerabilidad se resuelve en sistemas Windows pero para Mac o Linux puede llegar más tarde. Java, Flash o Acrobat Reader, pero también LibreOffice y OpenOffice son varios ejemplos de estos programas trasversales.
Muchas empresas valoran como escaso el riesgo de ataque y invierten su tiempo en otras cuestiones que consideran más importantes para su negocio. Puede ser cierto, pero aunque el riesgo sea bajo, el nivel de daño que puede hacer un atacante a nuestra empresa es inmenso, por lo que a mi juicio no sale rentable tener dejadez en estos temas.
Eso sin tener en cuenta el daño que puede sufrir nuestra imagen o los posibles problemas para clientes. La cuestión es que sabemos poco de las empresas que han sufrido problemas de seguridad. Es un tema interno que conviene airear cuanto menos mejor. Las empresas son reacias a dar publicidad a los problemas sufridos y sólo cuando estos son notorios se deciden a emitir una nota de prensa. En muchos casos, ni siquiera eso.
En Tecnología Pyme | Ciclo de actualizaciones de seguridad de Windows vs. Apple Imagen | brianwc