Por Computerworld, EUA

O primeiro domingo depois da “Patch Tuesday” – dia em que a Microsoft libera seu pacote de correções mensais – é muito importante para a equipe de operações de rede da unidade de TI do Condado de Arlington, nos EUA. É neste dia que o grupo testa e implementa correções em seus sistemas. Algumas vezes a equipe enfrenta poucas correções.

Não foi o que ocorreu no último dia 12 de fevereiro, quando a Microsoft liberou correções para17 vulnerabilidades – o maior volume em um mês desde fevereiro de 2007. Foram correções para programas como o sistema operacional Windows, aplicativos Office, Internet Explorer e o servidor web Internet Information Services. Foram cinco atualizações críticas e doze importantes.

De acordo com analistas e usuários, uma liberação tão vasta pode sobrecarregar algumas organizações, forçando o pessoal de TI a buscar meios de facilitar o processo de correção.

Algumas instalações, como a do Condado de Arlington, criaram procedimentos especialmente robustos para lidar com o problema. Lou Michael, diretora de serviços de infra-estrutura e rede do departamento de serviços de tecnologia do Condado de Arlington, conta que começou a implantar processos formais depois que a Microsoft definiu um cronograma mensal deliberação de patches, em 2003.

“Isso nos permitiu acrescentar estrutura e um certo grau de formalidade ao processo de correção. Deixamos de ser reativos e passamos a ter um plano para enfrentar as ameaças”, diz a executiva.

Estabelecendo prioridades
Matt Mosher, vice-presidente sênior da Americas at Lumension Security, que fornece avaliação de vulnerabilidades e gerenciamento de correções, afirma que o volume crescente de patches levou algumas empresas a criar sistemas para priorizar vulnerabilidades e garantir que as mais críticas sejam corrigidas primeiro. “Elas estão tentando priorizaras vulnerabilidades que oferecem maior risco e aplicar avaliação e classificação de risco às decisões de patching”, afirma.

O escritório de advocacia Fenwick &West, por exemplo, prioriza os patches da Microsoft, reparando o que é crítico imediatamente e o menos importante em até 30 dias. Requisitos internos e regulatórios também contribuem para a adoção de práticas formais de gerenciamento de correções, isso porque as empresas são instadas não só a corrigir seus sistemas de forma segura, mas também a demonstrar conformidade auditável com regras do governo e da indústria.

Também é necessário que as vulnerabilidades permaneçam sanadas para que os bugs já corrigidos não reapareçam. Algumas empresas usam múltiplas defesas, tais como firewalls e sistemas de detecção e prevenção de intrusão, para não terem que depender tanto das correções. Estas medidas podem ajudar, mas não eliminam a necessidade de correção.