Microsoft Security Update Guide

Saiu no final de Novembro e vem preencher uma lacuna importante: como definir e executar um processo de gestão de actualizações (the Microsoft way, bem entendido).

Em organizações de pequena dimensão, em que o número de estações e servidores não vai além da dezena, e onde o departamento de IT tem um número de recursos reduzido (ou, em alguns casos, onde nem existe um departamento bem definido), pode ser mais eficiente e seguro garantir cópias de segurança diárias e, nesse cenário, activar o processo automático das actualizações de segurança. Neste modelo, se algum sistema ficar indisponível, basta recuperar a informação e os programas a partir das cópias realizadas.

Nas organizações de média e grande dimensões, se este automatismo não for antecedido por testes num ambiente de qualidade, podem acontecer situações desastrosas: o efeito de escala, numa situação em que as correcções tenham implicações negativas nas máquinas, pode deixar indisponível um número de equipamentos muito significativo, causar perdas de produtividade relevantes e, no limite, se não forem garantidas cópias de todos os sistemas, pode ter por consequência a perda de informação importante. Neste cenário, é importante estabelecer um processo de actualizações que considere, por um lado, o risco que está em causa e possíveis acções de mitigação, e, por outro lado, um procedimento de teste e avaliação das actualizações a integrar nos sistemas.

Dito isto, este documento Microsoft vem ao encontro da necessidade de estabelecer um processo formal de actualizações e, nesse sentido, considera uma sequência de etapas que são detalhadas, ao longo dos capítulos, e podem contribuir para fundar ou melhorar os processos em curso nas organizações. As etapas consideradas pela Microsoft são as seguintes:

  1. Recepção das notificações de segurança Microsoft;
  2. Avaliação do risco;
  3. Avaliação de formas de mitigação;
  4. Concretização das actualizações (num registo standard ou urgente); e
  5. Monitorização dos sistemas.

Como etapa seguinte às actualizações, como etapa recorrente, o documento considera ainda um processo de observação permanente de eventuais revisões das notificações e, naturalmente, de eventuais ameaças emergentes.

Está dito. Para concluir, resta-me dizer que o documento foi intitulado, tal como esta nota, Microsoft Security Update Guide e que, para quem tiver interesse em aprofundar esta temática, está disponível para transferência em www.microsoft.com/downloads/...