Parches de software

Índice:

1. Funcionamiento de un parche
2. Costes
3. Relevancia de la gestión de parches
   1. Dificultad de la gestión de parches
   2. ¿Quién desarrolla los parches?

¿Cómo funciona un parche?

Un parche es una pieza de software que se puede descargar de forma adicional en un paquete de softwareUn software es el componente lógico del que está constituido un equipo informático. Es decir, se trata de una herramienta que está formada por todos los componentes del sistema que no se pueden tocar, pero que hacen posible la realización de tareas específicas, como por ejemplo: procesadores de texto, hojas de cálculo, editores de imágenes, sistema operativo, etc., y que se instala en el software. Estos softwares se usan para hacer mejoras, actualizaciones, reparar errores o añadir una nueva funcionalidad. Pueden ser desarrollados por el propio proveedor de software, o por otros desarrolladores, que, generalmente, disponen del código fuente (software open sourceOpen source o código abierto es el término empleado al software distribuido bajo una licencia que permite al usuario acceso al código fuente. Este tipo de licencia posibilita el estudio y la modificación del software con total libertad. Además, su redistribución está permitida siempre y cuando esta posibilidad vaya en concordancia con los términos de licencia bajo la que se adquiere el software.).

¿Los parches son gratuitos?

En muchos casos, sí. Los parches desarrollados por el proveedor de un paquete de software implementado suelen estar incluidos en la cuota de mantenimiento. Al instalar el parche, no sólo se mejora la seguridad del sistema, sino que también pueden contener nuevas funcionalidades. En la mayoría de los casos, no hace falta pagar extra para estos parches. Sin embargo, no todas las funcionalidades extra ni los productos de seguridad se ofrecen en parches de forma gratuita.

Generalmente, un parche es una mejora del rendimiento de lo que ya está implementado. Al contrario que con un nuevo módulo completoUn software modular es aquel que se construye únicamente a partir de las funcionalidades requeridas por el cliente. De esta forma, solo se tiene y se paga por lo que se necesita. Si se desea, se pueden ampliar o disminuir las funcionalidades contratadas del software para ajustarse a sus requisitos., lo cual viene acompañado de una implementación y su correspondiente factura. No existen “reglas” sobre si se debe cobrar los parches o no. Realmente, es el proveedor quien decide si cobrar para ello o no.

Interesante: hay muchas discusiones sobre los parches de pago, sobre todo, con lo que respecta a la seguridad TICLa seguridad TIC, o Information Technology Security (IT security) en inglés, se encarga de implementar las medidas de seguridad para proteger la información usando diferentes tipos de tecnología. La seguridad TIC protege los datos empresariales, que comprenden tanto los de formato electrónicos como en papel.. Muchas personas argumentan que los parches de seguridad siempre deberían ser gratuitos. Otros, a su vez, dicen que el consumidor no tiene derecho absoluto a un producto “impecable” o “indestructible”. Según este razonamiento, los parches solo se incluyen cuando uno cambia a una versión de software más nueva (que, a menudo, tiene que pagarse).

La importancia de una buena gestión de parches

Pocas empresas tienen una buena visión general sobre qué parches se han aplicado al software existente, y/o si hay brechas. E, incluso, si se conoce, a menudo hay cierta reticencia a agregar todos los parches disponibles. Esta falta de visión general y/o rechazo a agregar todos los parches se deben a los siguientes motivos:

• A veces es difícil controlar si todos los parches en la red empresarial están actualizados. Seguramente, si la empresa tiene ciertas tareas TIC subcontratadas, se pierde la visión general rápidamente.
• La aplicación de los parches pueden ir acompañada de un tiempo de inactividad (downtime) (como que un PC no se inicie inmediatamente porque se deban completar unas actualizaciones).
• A veces, se teme lo desconocido. Por miedo en el impacto que pudiera tener en los procesos empresarialesUn proceso empresarial consiste en una serie de pasos, actividades y tareas que se realizan para obtener el resultado deseado. El resultado deseado puede ser la fabricación de un coche, el procesamiento de una factura o el trayecto que se sigue para conseguir vender. Por tanto, un proceso empresarial se centra en cómo se debe hacer el trabajo y en los flujos de trabajo dentro de una organización., algunas empresas prefieren seguir con lo que ya tienen porque lo conocen, también incluso si hay carencias visibles.

“Nuestra investigación reciente reveló que más del 80 por ciento de los CIO se han abstenido de adoptar una actualización o parche de seguridad importante debido a las preocupaciones sobre el impacto que podría tener en las operaciones empresariales.” – Matt Ellard, EMEA Director Ejecutivo de Tanium en Computer Business Software. (Traducción propia).

Sin embargo, es importante para una empresa mantener una buena gestión de parches. Los parches para nuevas funcionalidades suelen ser, en este caso, de menor importancia, aunque puedan proporcionar una ventaja competitiva con respecto a la competencia. No obstante, las áreas de las empresas en las que es imprescindible que los parches estén actualizados son las siguientes:

• Seguridad: las redes de trabajo que no tienen parches son vulnerables (parches de seguridad). No olvide los dispositivos personales con los que los empleados inician sesión en la red de la empresa (BYOD“Trae tu propio dispositivo”, más conocido como Bring Your Own Device (BYOD), se refiere a la moda por la que los empleados se llevan su equipo privado al trabajo. Por lo que ellos usan su propio portátil, tablet o teléfono móvil para realizar tareas. Esta tendencia surge del deseo cada vez mayor de los empleados para poder trabajar de forma flexible.).
• Resolución de problemas: el proveedor, a menudo, no repara los problemas de software hasta que todos los parches de actualización estén en orden (incluso si el problema no está relacionado con el parche).
• Auditoría: ciertos parches deben estar en orden para que haya una validación positiva (el tipo de parches depende del sector y del tipo de control).

¿Se necesita un especialista para la gestión de parches?

La gestión de parches puede ser complicada, sobre todo para aquellas empresas que tengan muchas aplicaciones TIC, redes y subcontrataciones. De ahí que la mayoría de las empresas contraten un especialista (externo). Este puede ser un empleado del proveedor de software que trabaja en la empresa (a tiempo parcial o completo). También es posible utilizar una herramienta de gestión de parches. Pero, el uso de la herramienta no quita la necesidad de tener cierto conocimiento técnico en este caso. Un especialista comprende inmediatamente de la información del parche si:

• Hace falta reiniciar el sistema y, por lo tanto, habrá un tiempo de inactividad;
• El formato de datos subyacente debe actualizarse;
• Se debe ajustar cierto código personalizado (custom code);
• etc.

Esta información ayuda a las empresas a tomar decisiones sobre si instalar un parche, cómo se puede llevar a cabo la instalación del parche y qué precauciones se pueden tomar. Por ejemplo, un hospital se puede encargar de que un parche se instale en el momento que el tiempo de inactividad no tenga ninguna influencia en las operaciones. También suele ser una buena medida preventiva hacer una copia de seguridad (back-upUna copia de seguridad (backup) es un duplicado de los datos que se hace para poder recuperarlos ante cualquier pérdida o incidente. Por lo tanto, las copias de seguridad forman una parte muy importante de la seguridad TIC de la empresa, ya que sin ellas una empresa podría quedarse sin sus datos. Por ello, en la norma ISO 27001, de seguridad informática y de información, exige que se hagan backups regularmente, que se comprueben que sean correctas y restaurables.) para cuando surgen complicaciones con el nuevo formato de datos.

¿Puede la empresa desarrollar su propio parche?

En principio, todo aquel que disponga del código fuente de un paquete de software, o que tenga conocimiento de ingeniería inversa, puede desarrollar un parche. Para los softwares que tiene un código fuente abiertoOpen source o código abierto es el término empleado al software distribuido bajo una licencia que permite al usuario acceso al código fuente. Este tipo de licencia posibilita el estudio y la modificación del software con total libertad. Además, su redistribución está permitida siempre y cuando esta posibilidad vaya en concordancia con los términos de licencia bajo la que se adquiere el software., esta es la forma más común de contribuir al software. Cualquier persona que haga una contribución debe enviarlo como un parche al desarrollador original para su verificación y adición. La validación del desarrollador original es necesaria porque de lo contrario el software podría volverse inestable debido al flujo continuo de adiciones (a veces, malas).

Sin embargo, un parche no se desarrolla como si nada. El desarrollador debe tener un buen conocimiento del software. Además, él o ella se debe encargar de que:

• Se siguen los códigos estándares y la documentación del proyecto. El parche debe estar conforme al software base;
• Él o ella conoce la última versión del software. Si el parche se realiza para un versión anterior, pueden surgir problemas de compatibilidad. Esto no significa que el parche se deba tirar inmediatamente a la basura, pero, a menudo, la solución requiere un poco más de desarrollo del código. Esta parte debe copiarse y ajustarse nuevamente en la próxima actualización, y aumenta la posibilidad de que esta actualización salga mal;
• También quede claro para el resto lo que hace el parche, cómo debe instalarse, y cómo se usa.

Nota: también existen parches no-oficiales. Estos son realizados por personas que no tienen ninguna relación con el desarrollador original. Esta puede ser una buena solución para cuando el software llega al fin de su vida útilEl Fin de vida útil, más conocido por su término inglés End Of Life (EOL), es un término que se refiere a la caducidad de un producto de software. Es decir, es el momento en el cual un software deja de tener mantenimiento y soporte. Un software, como cualquier otro producto, tiene un ciclo de vida. Las fases por las que pasa un software son las siguientes: Salida del software (Lifecycle Start Date); Aviso del EOL; Fin de venta del software (End Of Sale, EOS); EOL. En ocasiones, el EOL se puede dividir en 2 fechas diferentes dependiendo de lo que se tenga contratado. Estas fechas serían: Fecha general de EOL (Mainstream Support End Date); Fecha extendida de EOL (Extended Support End Date). (End Of Life, EOL), y, por tanto, no pueda crearse ningún parche oficial más. Atención: estos parches no tienen ninguna garantía de éxito y, en algunos casos, pueden incluso dañar el sistema. Así que asegúrese de que siempre sean evaluados por un especialista.