Gracias por la aportación a ti también. Como bien dices, los servicios de alertas suelen ser limitados, y no están integrados plenamente en las organizaciones, lo que plantea los problemas que hemos comentado.

En caso de que el trabajo se haga en casa, los administradores, efectivamente, asesorados por el personal de seguridad, que son los que deben decidir qué parchear y cómo, deben aplicar los parches sugeridos disponiendo de la máxima información posible. Siempre es bueno que los administradores conozcan los parches, pero quienes deben conocerlos en profundidad, en términos de aplicabilidad, conveniencia y resolución de conflictos de seguridad, son los administradores de seguridad.

Un saludo, y al igual que le decía a Mini en el comentario anterior, me alegro de que te haya gustado el texto :)

Gracias por el comentario, me alegra ver puntos de vista distintos al mío :)

Te doy la razón en que efectivamente, las amenazas se han incrementado y sofisticado, y que por tanto, la probabilidad de daño es cada vez mayor. Nadie discute ese punto. Creo que es obvio que ante un evento crítico, por ejemplo un 0 day en una máquina expuesta al tráfico anónimo y un agujero listo para explotar, hay que actuar rápido. En estos casos también se puede analizar el riesgo y hacer una prueba en cuestión de poco tiempo, pero lo que prima es cerrar el grifo, y ya afinaremos la cañería. Este modus operandi tiene cabida en lo expuesto, aunque es secuencial, como tú mismo explicas.

Aún en estos supuestos, hay que tener en cuenta que en el caso de una máquina expuesta deberían existir otros mecanismos que mitiguen el riesgo y que permitan no tener que precipitarse en la solución de un problema, como por ejemplo, cortafuegos, sondajes IDS e IPS y segmentación de redes adecuada, con lo que tirarse al charco “a lo loco” puede ser precipitado. Cada caso requerirá el conveniente estudio, qué duda cabe.

El post está más orientado a la gestión ordinaria de parches, aquella en la que sí podemos articularla con cabeza, pensando qué hacer y escogiendo entre las distintas opciones, y en la que el riesgo primario no es un atacante externo o interno descontrolado, sino echar abajo una producción por no hacer las cosas bien.

Ah, y por cierto, me alegro que encuentres los últimos contenidos más de tu agrado. Espero que la línea sea continuista en este sentido :)

Un saludo,

Por un lado, entiendo el punto de vista que plantean en el comentario anterior. Yo creo que depende del caso habrá que aplicar rapidamente el parche o hacer una evaluación de impacto como corresponde.

Por otro lado, lo que me interesa comentar es el putno de los servicios de alertas, ya que yo creo que la información que brindan muchos de ellos es escasa. Como vos decís, el nobre de la vulnerabilidad, las versiones afecatadas y muchas veces hasta ahí llegamos.

En ese caso, creo que los administradores deben tomarse el trabajo:
1. uscar un servicio que brinde información más completa.
2. o bien de hacer una búsqueda por varios sitios web para conocer mejor el parche y el problema.

En fin, es un tema muy complejo y, como todo, deberá adaptarse la gestión al tamaño y características de la organización.

¡Felicitaciones por el post!