¿Existen estadísticas sobre la fiabilidad de los parches de seguridad? ¿Como la fracción recordada o corregida?
Parte de mantener una computadora segura es aplicarle parches de seguridad. El período entre la disponibilidad de un parche y su instalación conlleva un mayor riesgo de compromiso, ya que los piratas informáticos han sido alertados acerca de una vulnerabilidad. Si su única preocupación es la seguridad, debería instalar todos los parches de seguridad e instalarlos lo antes posible.
Sin embargo, conozco a administradores de sistemas profesionales (en el sentido de que se les paga para hacer el trabajo) que no instalan parches de seguridad porque, dicen, les preocupa que la instalación de los parches "romperá" su sistema de alguna manera .
Es fácil denunciarlos como tontos. Pero un análisis más matizado señala que su trabajo no es no simplemente mantener un sistema informático seguro. El sistema tiene una tarea comercial que hacer, y una brecha de seguridad es solo una de las varias fallas por las que deben preocuparse. Un enfoque racional toma en cuenta el costo de cada modo de falla, el costo de las protecciones contra la falla y su probabilidad de ocurrir. No instalar parches puede ser una decisión racional, al menos en teoría, en algunas circunstancias. Más razonablemente, retrasar la instalación de un parche mientras se espera para ver si tiene problemas podría ser racional en más circunstancias.
Sin embargo, para que tales decisiones sean racionales, la probabilidad de que un parche de seguridad rompa una aplicación empresarial debe ser conocida y moderadamente alta. De lo contrario, la razón dada es más una excusa para la pereza.
¿Qué tan probable es que un parche de seguridad para un marco o componente del sistema operativo (como un servidor web) rompa una aplicación empresarial que se ejecuta en esa plataforma? ¿Existe alguna estadística sobre la probabilidad de que un parche se rompa algo?
Ahora, nadie hace un cálculo matemático de la ganancia esperada, sino que opera con algunas intuiciones sobre el riesgo relativo. Sospecho que los administradores del sistema tienen una intuición errónea acerca de la posibilidad de que un parche rompa su sistema. Como programador de aplicaciones empresariales, me resulta difícil creer que un parche para un componente o marco del sistema operativo que haya sido probado razonablemente por el proveedor podría romper la aplicación, a menos que la aplicación estuviera mal escrita y plagada de errores que plantearan otros riesgos comerciales. de todas formas. Pero, ¿cómo podemos corregir tales intuiciones defectuosas sin algún tipo de estadísticas sobre parches defectuosos? ¿Como la fracción de parches recordados o corregidos?