בעקבות שאלות של לקוחותבצעתי מחקר קטן בנושא של מדיניות הפצה ושינויים (בעיקר מהתחום התשתיתי) בארגונים.
כמובן שגיליתי שונות גדולה. ישנם ארגונים שבהם אין מדיניות לבין ארגונים שבהם יש מדיניות וכללים ברורים.
את המדיניות המקיפה ביותר גיליתי אצל ארגון מוביל בתחום התקשורת.
הדבר המרכזי הוא שלא נוגעים בשרתים ללא מעבר ב"פורום שינויים" שמתקיים ביום ה'. בפורום שותפים גם נציגים של היישומים השונים.
אבטחת מידע אחראים להביא מקורות של מה הסיכונים .
אחת לשבועיים עושים פורום אבטחת מידע ומחליטים אם להפיץ מייד או לחכות.
על שרתים חשובים מבצעים זאת:
עושים בדיקות וגם ממפים מה מריצים – מי אחראי אפליקטיבית – מידעים את אחראי האפליקציה. ואז מבצעים את השינוי (במידת האפשר בהדרגתיות) כאשר במערכות החשובות האחראי האפליקטיבי מבצע בדיקה שהמערכת עלתה קשורה ומתפקדת. על פי הנסיון בארגון, ישנם מקרים שבהם גם Patches של אבטחת מידע או שינויים תשתיתיים אחרים מפריעים לאפליקציות!
באחריות חדר התפעול לוודא שהאחראי האפליקטיבי ביצע את הבדיקה (לעיתים מהבית).
שינוים שנדרשים שאינם קשורים לאבטחת מידע - אוגרים ומטפלים פעם בכשלושה חודשים.
אגב, אצל מספר ארגונים היו שינויים במדיניות ההפצה והשינויים בגלל הוירוסים האחרונים שפגעו בשרתים שלא עודכנו כבר זמן מה.
מצד שני נתקלתי בלקוח אשר דיבר על כך שבתקופות מסויימות כמו (במקרה שלו – לפני פסח) הם לא מבצעים שינויים במערכות כלל וזאת מכיוון שאסור המערכות יפגעו כלל בתקופה קריטית זו. בארגון זה בגלל שיצאו patches קריטיים מה שעשו זה הגבירו את האבטחה במקומות אחרים אבל לא רצו להתקין את ה- patches בשרתי הייצור כי גם לפי הניסיון שלהם הדבר עלול לגרום לבעיות במערכות. ותיקונים שם עלולים לערוך זמן רב.
אצל ארגון גדול אחר המדיניות היא התקנת Patches אחת לרבעון בשרתים ופעם בחודש בתחנות עבודה. כאשר התהליך הוא התקנה בסביבות טסט ופיתוח כולל שרתים מדגמיים כשבועיים לפני הפצה.
ההפצה מתבצעת במדורג , קודם מרכז + מחוזות ואז תוך שבועיים כל הסניפים. גם כאן מזמינים מומחי יישום שיבדקו שהכל קשורה אבל גם כאן רק למערכות הקריטיות.
לסיכום - כל הארגונים מודעים לחשיבות הפצת שינויים ו- patches אבל ישנה שונות רבה בנוהלים הפרטניים.
כמו כן ארגונים אשר נפגעו מהוירוסים האחרונים בצעו רענון למדיניות הפצת ה- patches.
אין תגובות:
הוסף רשומת תגובה