«Ara no és bon moment.» «Si funciona, no ho toquis.» Aquestes frases les escoltem cada dia quan parlem d'actualitzacions de sistemes. En una empresa en marxa, aturar-se a actualitzar sembla una pèrdua de temps. Però posposar-les és una de les decisions més costoses que pot prendre una PIME.

Per què tothom ajorna les actualitzacions

La resistència a actualitzar és comprensible. Els equips de treball estan plens i qualsevol canvi genera incertesa. Aquesta por és legítima, especialment en empreses sense un departament informàtic intern. A més, les actualitzacions arriben sovint en el pitjor moment: enmig d'un projecte important o just quan tens un client esperant. El resultat és que es van posposant fins que passa alguna cosa greu.

La realitat dels números

Les dades parlen per si soles:

  • El 60% dels atacs informàtics exitosos s'aprofiten de vulnerabilitats que ja tenien un pegat disponible.
  • El temps mitjà entre la publicació d'un pegat i el primer atac que l'explota és d'entre 14 i 21 dies.
  • El ciberatac WannaCry (2017) va infectar 200.000 ordinadors en 150 països en menys de 48 hores. Tots eren sistemes Windows sense un pegat que Microsoft havia publicat dos mesos abans.

Quan posposes una actualització de seguretat, estàs obrint una finestra de temps durant la qual els atacants saben exactament com entrar als teus sistemes.

Sistemes operatius, aplicacions i firmware: tots compten

Moltes empreses actualitzen Windows però obliden la resta. La superfície d'atac inclou molts més elements:

  • Navegadors web (Chrome, Firefox, Edge): s'actualitzen sovint i contenen vulnerabilitats crítiques.
  • Suite ofimàtica (Microsoft 365, LibreOffice): els documents maliciosos exploten vulnerabilitats d'aquestes aplicacions.
  • Routers i commutadors de xarxa: el firmware de maquinari de xarxa s'oblida sovint i és una via d'entrada habitual.
  • Dispositius NAS i servidors: sistemes crítics que sovint s'instal·len i no es tornen a tocar durant anys.
  • Telèfons mòbils corporatius: accedeixen al correu i documents de l'empresa però poques vegades entren en una política de manteniment formal.

Com gestionar les actualitzacions sense interrompre l'activitat

La solució no és actualitzar de manera compulsiva ni sense planificació, sinó establir un procés ordenat:

  • Classifica per prioritat: les actualitzacions de seguretat crítiques s'han d'aplicar en 72 hores; les funcionals es poden programar en finestres de manteniment.
  • Programa finestres de manteniment: tria horaris de baixa activitat (nit o cap de setmana) per aplicar actualitzacions sense afectar l'operativa.
  • Fes còpies de seguretat prèvies: abans de qualsevol actualització important, assegura't que tens un punt de restauració recent.
  • Documenta els canvis: porta un registre de quines actualitzacions s'han aplicat, quan i en quins sistemes.

Externalitza la gestió: el servei de manteniment proactiu

Per a la majoria de PIMES, la millor solució és disposar d'un soci tecnològic que s'encarregui de tot el cicle de vida de les actualitzacions. Un servei de manteniment proactiu inclou:

  • Monitoratge continu de l'estat de tots els sistemes.
  • Aplicació automàtica de pegats de seguretat en horaris pactats.
  • Alertes immediates quan s'identifica una vulnerabilitat crítica.
  • Informes mensuals de l'estat de salut dels sistemes.
  • Intervenció ràpida si alguna actualització genera problemes.

Això permet a les empreses oblidar-se de la gestió de les actualitzacions i centrar-se en el seu negoci, amb la tranquil·litat que els seus sistemes estan protegits.

Vols saber quin és l'estat d'actualització dels teus sistemes? A PATH fem una revisió de l'estat de manteniment dels teus equips i et proposem un pla proactiu adaptat a la teva empresa. Contacta'ns sense compromís.