Patchen: meer dan gaten dichten

– “Wees voorzichtig buiten, jongen.”
– “Ja, mam.”
– “De wereld is een gevaarlijke plek.”
– “Ja, pap.”

Ouders die het beste met hun kinderen voorhebben, waarschuwen veel en vaak. Meestal viel het toch best mee. Maar wij in de IT weten als geen ander dat er écht een boze buitenwereld is, die bepaald niet het beste met jouw organisatie voorheeft.

Dus is er een soort wapenwedloop: hacker vindt gaatje, softwareleverancier dicht gaatje, hacker gaat op zoek naar nieuw gaatje. Repeat.

Intussen zitten wij met de ene na de andere beveiligingsupdate van onze software en systemen. Dat vraagt om strakke regie: patch management.

Oke, dus elke keer als de softwareleverancier een patch uitbrengt, installeer ik die meteen? Was het maar zo gemakkelijk. Ja: je moet een patch zo snel mogelijk uitrollen, zeker als het om het dichten van een veiligheidslek gaat, maar toch moet dit met beleid gebeuren.

Hoe gek het ook klinkt, het loont de moeite om na het verschijnen van een softwareupdate éven een dag of wat te wachten. Er zijn talloze voorbeelden van updates die te boek staan als ‘critical security fix’, maar die onverwachte bijwerkingen hadden in de vorm van bugs of zelfs verminking van functionaliteit. Logisch, softwarebedrijven hebben een hele reputatie te verliezen als ze er niet snel bij zijn om een veiligheidslek te dichten. Dan gaat er weleens wat mis.

Even pas op de plaats

Goed idee om eerst even de kat uit de boom te kijken. Risico van een hack afwegen tegen verlies van productiviteit. Verschijnen er geen paniekberichten op forums, dan kun je veilig overgaan tot uitrol.

Het spreekt in dit kader al helemáál voor zich dat een nieuwe versie van een softwareprogramma helemaal geen prioriteit heeft. We kennen gevallen van organisaties die hun complete productiesysteem op hun gat zagen vallen omdat de software wel vernieuwd was, maar de bijbehorende plug-ins subiet weigerden ermee samen te werken. Grote leveranciers lijken wat dat betreft zonder opgaaf van reden elke keer de spelregels te veranderen.

Automagisch

Het uitrollen van een patch gaat trouwens helemaal niet zoveel anders dan van een complete softwareapplicatie. Als dit bij Easy Software Deployment in de Package Store zit, dan kun je direct aan de slag. Zo niet, dan heb je met een paar muisklikken je custom patch toegevoegd. Dan is het de volgende keer een kwestie van ‘select & deploy’. Uitrollen gebeurt dan vanaf een centraal punt naar alle werkplekken.

Daarbij is het mooie dat je dit uitgesteld kunt doen, zodat het gebeurt op een moment dat je er zeker van bent dat het veilig kan, en zonder dat het werkzaamheden onderbreekt.

Next up

Patch management is dus meer dan alleen updates uitrollen. Plan je het zorgvuldig, dan beschik je over een vrijwel waterdicht IT-systeem – mits softwareleveranciers net zo zorgvuldig zorgen voor het dichten van lekken.

Er zitten veel interessante aspecten aan patch management. Reden genoeg om in de volgende blogs nog wat zaken uit te diepen.