Muchos clientes de Oracle retrasan la aplicación de parches de seguridad

La inexistencia de instrucciones corporativas de instarlar rápidamente los parches de seguridad emitidos por Oracle para su software deja expuestas muchas instalaciones de datos a la explotación de sus vulnerabilidades durante largos períodos de tiempo.

Según un estudio realizado conjuntamente por Independent Oracle Users Group (IOUG) y la propia Oracle, sólo el 26% de los 150 entrevistados dijo que sus compañías exigían actualizaciones de parches trimestralmente al desarrollador de software con el objetivo de implementarlos en los sistemas tan pronto se hicieran públicos. Otro 6% manifestó que necesitan instalar actualizaciones de parches críticos (Critical Patch Updates, sus siglas en inglés CPU) de Oracle sólo en sistemas críticos. Por otro lado, el 30% puso de relieve que sus compañías no tenían políticas específicas relacionadas con los parches de Oracle mientras que un 32% reveló que sus políticas requerían a los administradores de bases de datos hacer un análisis de coste o de riesgo antes de que el vendedor lance su próximo CPU, tal y como recoge el estudio. En lo que se refiere al tiempo de implementación, el 25% dijo que, detrás de la instalación de los parches, había un ciclo, o de tres a seis meses, mientras el 26% dijo que tardaban de dos a cuatro ciclos. El 11% restante manifestó que ellos no habían instalado ningunas de las actualizaciones de Oracle en sus sistemas.

Si bien los resultados de la encuesta hacen saltar las alarmas desde el punto de vista de seguridad, éstos son mejores que los datos que aportaba el estudio elaborado por Sentrigo, un vendedor de herramientas de seguridad de bases de datos. Según el informe de este fabricante, más de dos tercios de los administradores de bases Oracle dicen que no han instalado nunca un parche de Oracle en sus servidores de bases de datos, sin importar cómo las vulnerabilidades críticas estaban siendo arregladas.

Sin embargo, el hecho evidente de que muchas empresas aún no hayan establecido políticas para tratar con las CPUs de Oracle es algo alarmante, sobre todo considerando que las bases de datos a menudo son el activo corporativo más valioso dentro de las empresas, explica Ian Abramson, el presidente del IOUG.

Según Abramson, los resultados de la encuesta también muestran que la disponibilidad de mejores herramientas o documentación para probar los parches de Oracle podría tener un impacto en la rapidez con la que las empresas los aplican. "Es importante para los administradores entender el contexto en el que se presentan. De otra manera, el administrador de base de datos podría tener problemas al determinar qué parches individuales son relevantes para sus entornos de TI”, añade Abramson.

Por otro lado, otro de los argumentos que se esgrimen es que la información que contienen las releases de Oracle sobre sus parches a veces simplemente no es suficiente para que los administradores de bases de datos tomen decisiones rápidas sobre sus despliegues. Oracle ha hecho algunas mejoras es ese área, pero se cree que todavía su documentación de parche no proporciona el mismo nivel de información que la de otros vendedores, como Microsoft. 

Oracle no ha hecho ningún comentario sobre los resultados de la encuesta. Pero un post en el Global Product Security Blog de la compañía, dijo en respuesta a las cifras aportadas por el estudio, que Oracle “explora formas” de mejorar su documentación de CPU para ayudar a los clientes a hacer más fácil y rápido la prueba de los parches.



TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?