Natuurlijk worden er in uw organisatie updates en patches uitgevoerd. Toch zien wij geregeld risico’s en concrete problemen op het gebied van stabiliteit en beschikbaarheid, die zijn ontstaan door ‘issues’ op het gebied van patchmanagement.
Dat die issues kunnen ontstaan is overigens helemaal niet verwonderlijk; er zijn een aantal voor de hand liggende redenen waarom patches niet altijd worden geïnstalleerd.
3 redenen om niet te patchen. Herkent u ze?
Onzekerheid?
Een patch op een goede manier uitvoeren is bewerkelijk. Een patch voor een bedrijfskritische server installeren betekent in de regel dat deze op de ontwikkel-, test-, acceptatatie- én productieomgeving moet worden getest en geïnstalleerd. Omdat het bewerkelijk is én omdat de uitkomst vooraf onzeker is, worden de updates en patches nog wel eens overgeslagen.
Overigens is het goed om te weten dat wij het update/ patchproces in veel gevallen kunnen automatiseren.
Maar de klanten dan?
Wanneer er systemen zijn waar klanten gebruik van maken, is de beschikbaarheid van dat systeem van belang. Je wilt toch niet hebben dat een klant heel even geen gebruik kan maken van het systeem, omdat er wordt gepatcht. Alweer een reden om patches achterwege te laten.
Wat patchen??
Er zijn ook systemen die om de een of andere reden niet standaard worden meegenomen in het patchproces. Zo zien we soms SQL-servers met een ernstig verouderde ‘build’, of devices die aan het netwerk hangen waarvan nooit een firmware-update is uitgevoerd. “Moet dat ook geüpdate worden dan?”, is een vraag die we dikwijls horen. En die vraag snappen wij.
Dit wilt u patchen
Je hoeft in principe ook niet alles te patchen of te updaten, maar systemen die zijn verbonden met internet krijgen van ons de hoogste prioriteit.
Eigenlijk wilt u helemaal niet dat bedrijfskritische systemen direct zijn verbonden met internet. Denk bijvoorbeeld aan uw webmail. Wanneer u er een ‘reverse proxy’ tussenzet, kan er niemand direct op uw mailserver, en dat scheelt al heel veel in risico. Maar goed, hoe dan ook zult u van alle systemen die verbonden zijn met internet, volgens een goed bedachte patch-procedure moeten opereren.
Voordelen
Natuurlijk zorgt patchen voor een lagere kwetsbaarheid van buitenaf. En het is ook zo logisch om het goed in te regelen; u doet toch ook de deur op slot?
Maar goed patchmanagement geeft bovenal een verbeterde stabiliteit en beschikbaarheid. Sowieso stellen de meeste software leveranciers het uitvoeren van patches verplicht, om aanspraak te kunnen blijven maken op support.
Ze dénken het op orde te hebben
Hopelijk is het goed gesteld met de veiligheid van de data in uw organisatie, maar veel bedrijven zijn zich niet bewust van de risico’s die kunnen worden veroorzaakt door zwakke schakels.
Wat betekent het voor uw organisatie als er bijvoorbeeld klantgegevens op straat komen te liggen? Of als er interne gesprekken en discussies openbaar worden gemaakt? Verreweg de meeste organisaties gruwelen van dergelijke scenario’s, terwijl er desondanks te weinig focus is op het afdekken van risico’s.
Hoe dan ook staat patchen, of beter gezegd ‘niet patchen’, in de top van genoemde veiligheidsrisico’s.
Voordat u gaat patchen; lifecyclemanagement
Het bijhouden van updates en patches is dus onontkoombaar. Maar u kunt er wel slim mee omgaan. Door het uitkiezen van de juiste software, kunt u veel problemen in performance en beschikbaarheid, en dus de noodzaak om te updaten en te patchen voorkomen.
In sommige gevallen is het verstandig om te kiezen voor de meest stabiele versie van software. Om een voorbeeld hiervan te geven: veel van onze klanten werken met Office 2013. Terwijl Office 2016 al uit is. Overigens is de uiteindelijke overstap naar 2016 onvermijdelijk, bijvoorbeeld als als het support voor 2013 stopt.
In andere gevallen is het juist verstandig om wel te kiezen voor de meest actuele versie van software. Het kiezen van de juiste versies wordt vastgelegd in het ‘Lifecycle management’. Lifecycle management en patch management gaan dan ook hand in hand als het gaat om een zo efficiënt mogelijk beheer.
Schepje er bovenop
Nu we het toch over beheer en beschikbaarheid hebben; wij durven hierin wel een scherpe uitspraak te doen: Goed lifecycle-, patch- en security management IS het beheer. Of: kan het beheer zijn in een ideale situatie natuurlijk.
Met andere woorden, op het moment dat u het beheer op orde heeft, heeft u daarna nauwelijks meer kosten aan incidententen, projecten, storingen, etc.
Ons pleidooi om een gedetailleerde procedure te maken voor uw patches is dus niet alleen om uw organisatie veilig te houden. Het is een pleidooi om ervoor te zorgen dat u een maximale beschikbaarheid houdt, en een minimale kosten hebt aan beheer.
Houdt uw omgeving gezond. Wilt u meer weten? Neem dan gerust contact met me op!
Groeten,
Marco Hoedt
Uw persoonlijke ICT-adviseur
Bekijk het LinkedIn profiel van Marco Hoedt