Quando o gerenciamento de patches se torna mais importante que remendar

Por Rodrigo Macedo

Publicado em: 13 de agosto de 2006

O que uma montadora de veículos e uma companhia farmacêutica tem em comum com a indústria de software? Produtos passíveis de erros.

Em maio do último ano a Volkswagen realizou o terceiro maior recall da história no País. Foram 123 mil veículos convocados para revisão do sistema que controla o funcionamento dos componentes eletrônicos dos carros. Um pouco antes, em setembro de 2004, a Merck & Co, gigante farmacêutica, anunciou a retirada do mercado, em todo o mundo, do VIOXX, um medicamento indicado para o tratamento da artrite e dor aguda que, após estudo clínico realizado pela própria fabricante, constatou elevado risco de ataque cardíaco e acidente vascular cerebral nos seus usuários. No primeiro trimestre de 2006, a SANS Institute, relata que foram reportadas mais de 600 vulnerabilidades em softwares diversos. A Microsoft encabeça a lista com 20 pacotes de atualização somente neste período.

Se a semelhança entre as companhias ocorre no desenvolvimento de produtos com falha, a correção se mostra tão distante quanto os seus segmentos de mercado.

Através de uma extensa, e bem suprida, rede de concessionárias, a montadora corrige o problema dos veículos sem onerar os seus clientes e de maneira rápida. No segundo exemplo, a farmacêutica com o auxílio de um canal de distribuição efetivo, impede a venda do produto inseguro ao mesmo tempo em que orienta seus consumidores a adquirirem um medicamento substituto sob supervisão médica. Já nos sistemas de informação a responsabilidade da correção recai quase que totalmente sobre o usuário que perceberá em algum momento que a correção em si pode desencadear problemas maiores que a própria falha a ser reparada.

Neste contexto, surge a necessidade de um modelo de suporte que o mercado começa enxergar. Foi assim com o gerenciamento de recuperação de desastres, vai ser assim com o gerenciamento de vulnerabilidade e correções.

A resposta da Microsoft frente à complexidade e ao grande volume de correções vem através do Microsoft Solutions Framework, uma proposta sólida, escalável e segura. A abordagem que consiste em quatro etapas tem como resultado assegurar uma operação eficaz para empresas de todos os portes, tornando a prática padronizada e consistente.

Em resumo, o processo inicia com a Avaliação que tem por finalidade conhecer o ambiente a ser corrigido. Esta fase trata da auditoria de software e sugere que sem um ambiente padronizado o inventário torna-se quase impossível comprometendo todas as fases seguintes do programa.

A próxima etapa, Identificação, consiste não apenas em descobrir as atualizações de maneira confiável e rápida, mas também definir a importância das atualizações para fixar sua estratégia de implementação que poderá ser emergencial ou programada. Essas duas categorias determinam o valor de investimento utilizado no programa. Sim, as empresas começam a adotar investimentos diretos no gerenciamento de correções confirmando a idéia do mercado de que, mais que melhores práticas, o gerenciamento de correções se encaminha para um produto.

O terceiro ponto tratado descreve a decisão de implantar e testar a atualização em um ambiente semelhante ao de produção para certificar a qualidade da correção e evitar impactos indesejados nos sistemas e aplicativos críticos aos negócios.

Implantar é a quarta e última fase do modelo, que está relacionada com o desenvolvimento bem-sucedido das atualizações de software aprovadas no ambiente de produção, visando atender a todos os requisitos relativos aos SLAs (Nível de Acordo de Serviço).

Podemos observar ao longo dos quatro tópicos que o gerenciamento de patch é uma tarefa multidisciplinar que envolve não apenas qualidades técnicas, mas principalmente visão de negócio. A despeito de cada etapa indicar objetivos distintos uma das outras, elas se completam facilitando a definição da estratégia técnica que será utilizada no projeto, tais como a escolha da ferramenta de automatização de correção.

Hoje existem mais de 30 produtos voltados diretamente para a tarefa de automatização de correções. Produtos estes apoiados por uma comunidade em rápido crescimento e ávida por um processo definitivo e seguro.

Espalhadas por fóruns e listas de segurança da informação, melhores práticas e administração de sistemas, os interessados no gerenciamento de patches, como eles identificam, começam a manifestar-se a favor não apenas de segurança, mas também de disponibilidade de serviço, qualidade na aplicação de correções e retorno de investimento no processo adotado.

Seja qual for a discussão, todos sabem que o erro é inevitável e que a responsabilidade de correção é do usuário. Fazer isto de maneira rápida, confiável, transparente e dentro do investimento disponível é a grande aposta no processo formal de gerenciamento de correção.

Rodrigo Macedo é consultor especializado em gerenciamento de patch e vulnerabilidade para empresas como IBM, Johnson & Johnson Company e Dow Chemical. Sugestões e comentários, envie um e-mail para rodmacedo@deploymind.com.br .