Este es el tercer artículo de una serie que indica los pasos recomendados para el manejo de las actualizaciones de Software en los servidores y estaciones de trabajo.
En este artículo definiremos la creación del documento de procedimientos necesarios a establecer para la administración y gestión de las actualizaciones, así como el ciclo de parches.
Ya teniendo claro el inventario de Hardware que indique los equipos existentes, características y su ubicación, así como el inventario de Software, con el listado de Sistemas Operativos, versiones y características, podemos proceder a crear el procedimiento de gestión de actualizaciones a ser seguido por todos los miembros involucrados dentro de la compañía.
Los elementos que comprende el procedimiento deben especificar
- Metas
- Alcance
- Roles y responsabilidades
- Flujo del proceso
A continuación una pequeña explicación de cada uno de los elementos.
Metas
En este punto debe definirse lo que se espera alcanzar con el proceso de gestión de las actualizaciones con respecto al Hardware y Software presente, haciendo énfasis en el mantenimiento de la seguridad del entorno y la reducción de las vulnerabilidades que puedan implicar una explotación de las mismas por atacantes.
Alcance
Acá debe definirse el ámbito de aplicación de las actualizaciones a nivel de equipos objetivo y software objetivo, de acuerdo a lo encontrado en el inventario de Hardware y Software presente dentro del ambiente.
Roles y responsabilidades
En este punto se deben definir los roles que participarán en el proceso de gestión de cambios, y las responsabilidades inherentes a cada rol.
Lo interesante de este punto es que los roles pueden ser muy variados de empresa a empresa, en unos casos, unos pocos roles bastan para una empresa, en otros casos existen muchos roles de acuerdo a las responsabilidades y funciones de administración del entorno.
Lo importante acá es definir una gestión eficiente, y que los roles y responsabilidades de cada rol queden claramente definidas, para que en el proceso quede especificado la participación de cada uno en el proceso de aplicación de las actualizaciones.
Algunos ejemplos de roles, tomando en cuenta que pueden ser tan generales como específicos, o cambiables de acuerdo a la dinámica, de acuerdo a la estructura de la empresa.
Gestor de Cambios / Liberaciones
Es el encargado del mantenimiento de la plataforma de actualizaciones de los Sistemas Operativos, los encargados de este rol tendrán la responsabilidad de la descarga de la actualización, definir como se implementa la actualización y ejecución de la misma, y ver la documentación relacionada y pasarla a los entes encargados en la empresa para su estudio y aprobación. Es importante destacar que los encargados de este rol no tienen la responsabilidad de aprobación de actualización sin la discusión de los otros roles en una junta de control de cambios, donde se apruebe la misma.
Gerente / Administrador de área tecnológica
Este rol define el área tecnológica sobre la cual la instalación del parche tiene lugar, su responsabilidad es la de estudiar y definir el alcance y pruebas de la actualización sobre el producto objetivo, por ejemplo, administradores de Base de datos sobre el motor correspondiente, Administradores de aplicaciones sobre las plataformas .NET, PHP, etc. Este rol debe participar de las pruebas de los parches sobre las plataformas de prueba, y participar en la junta de control de cambios.
Mesa de ayuda
Es el punto de contacto de los usuarios cuando se presenten problemas, los encargados de este rol deben estar presentes e informados sobre todo el proceso, y tener los pasos claros sobre el escalamiento de los posibles problemas que las actualizaciones presenten, debido a esto, deben participar o estar informados de lo que se presente en el proceso de las pruebas de las actualizaciones, y participar en la junta de control de cambios.
Representación de Usuarios
Este rol implica que exista un grupo de usuarios que participarán durante la fase de pruebas, para la evaluación tanto de las aplicaciones y servicios que usan así como del estado de sus equipos para dar el feedback de las pruebas en sus estaciones de trabajo. Este rol debe participar en la junta de control de cambios.
Dueño del proceso de Administración de actualizaciones
Rol responsable de que el proceso sea eficiente y se cumpla a cabalidad, generalmente recae sobre el Gerente de IT, y coordina el flujo de comunicación entre los demás roles, lidera la junta de control de cambios.
Flujo del proceso
El flujo del proceso indica las fases o períodos en un ámbito de tiempo determinado que serán aplicados como un ciclo, durante el cual se efectuará todo el ciclo.
El flujo del proceso comprende las siguientes etapas.
- Evaluar
- Identificar
- Planificar
- Implementar
Definamos la explicación de las etapas
Evaluar
En esta etapa se procede a evaluar las actualizaciones y parches que los fabricantes van ofreciendo, para su estudio correspondiente y la factibilidad de aplicación en nuestro entorno.
Identificar
Acá se procede a identificar los elementos objetivo de la aplicación, es decir, los servidores y estaciones de trabajo, la aplicación de la actualización o parche va a depender del resultado de la evaluación y de las versiones de servidores, estaciones, servicios y aplicaciones, así como la distribución de los mismos en el ambiente.
Planificar
Es la fase donde se define la descarga de la actualización y su evaluación en un entorno de prueba, prototipo o laboratorio, se hacen las pruebas correspondientes, y en base a ello, se define la aprobación de la aplicación en el entorno.
Implementar
Durante la fase de implementación se define los procedimientos de instalación de las actualizaciones y parches, tiempos y evaluación de la instalación, proceso de rollback en caso de falla y evaluación de desempeño.