Matt Middleton-Leal, Director General de EMEA Norte/Sur de Qualys, analiza los desafíos de reemplazar el software con soporte final y cómo gestionar estos problemas.
Puede que no lo sepas, pero el software obsoleto nos rodea todos los días. Según la lista Guinness World Records de software en uso continuo, los productos de software más antiguos que aún se utilizan son el sistema de reservas de aerolíneas SABRE y el sistema de registro de impuestos de archivos maestros personales y comerciales del IRS.
Estos sistemas de software fueron diseñados y lanzados a principios de la década de 1960. Si bien es posible que estas aplicaciones aún se estén ejecutando y haciendo aquello para lo que fueron creadas, existe una gran cantidad de software que está desactualizado y es potencialmente peligroso.
Viejos sistemas de software todavía en uso
El software que ya no es compatible o que ya no recibe actualizaciones de seguridad se denomina «fin del soporte». El ejemplo más destacado aquí es el sistema operativo Microsoft Windows. La versión será reemplazada y la versión anterior ya no será compatible ni recibirá actualizaciones.
Según StatCounter, Windows 11 y Windows 10 son los sistemas más utilizados con un 53,3% y un 42,9%, respectivamente. Sin embargo, los sistemas más antiguos todavía están en uso, con Windows 8 (alrededor del 1% del total), Windows 7 (2%) e incluso Windows XP (0,44%) todavía en uso. El soporte para XP finalizó en abril de 2014. Aún así, todavía existen algunas instalaciones en toda la base instalada de escritorios del mundo.
Windows 10 finalizará su soporte el 14 de octubre de 2025. Este nivel de cambio es una tarea importante para un sistema operativo que alguna vez estuvo instalado en más de mil millones de dispositivos.
Pero, ¿por qué se sigue utilizando este software al final de su vida útil? ¿Por qué no pasamos todos al software más reciente y seguro como equipo estándar? Lo ideal sería que así fuera. Sin embargo, para algunos proyectos, los desarrolladores originales quebraron o dejaron de proporcionar actualizaciones.
Otras empresas no quieren pagar por una versión más nueva cuando su sistema anterior funciona bien. En algunas situaciones, es posible que no pueda actualizar su software. Los cambios interrumpen los procesos comerciales y el costo de reconstruir la aplicación es mucho mayor que los ingresos que genera. En otras regiones, esas aplicaciones han sido olvidadas.
Gestión del software con fin de soporte: lo que necesita saber
Cualquiera sea el motivo, esa clase de software conlleva riesgos. Nuestra investigación muestra que casi la mitad (48%) de los problemas en la lista de vulnerabilidades conocidas explotadas de CISA se encuentran en software obsoleto y sin soporte, mientras que el 20% de los activos críticos tienen software instalado que incluye software al final de su vida útil con problemas conocidos clasificados como «altos» o «graves».
La gestión de este software incluye un enfoque centrado en la seguridad para la gestión de activos. Esto incluye comprender qué activos posee, quién dentro de su organización es responsable de cada activo o software dentro de su negocio y qué riesgos puede plantear ese software. Este detalle normalmente no forma parte de las herramientas tradicionales de gestión de activos de TI, pero es clave para priorizar la remediación.
Considere realizar un seguimiento del estado de todas las instalaciones de software a lo largo del tiempo, a lo largo de su ciclo de vida, desde la disponibilidad general hasta el final de su vida útil o su estado de fin de vida útil. Esto debería incluir informes sobre los activos que llegarán al final de su vida útil dentro de los próximos seis o 12 meses, lo que permitirá suficiente tiempo para la planificación de la migración y las actualizaciones.
Generalmente hay un motivo por el cual el software llega al estado de Fin de vida útil/Fin de soporte sin ser reemplazado. Para el costo de implementar el cambio, asegúrese de que estén disponibles un caso de negocios documentado y las cifras correspondientes del presupuesto de implementación.
Además de esto, puede realizar un seguimiento del riesgo que supone para su negocio el software al final de su vida útil y comprender cuánto pueden afectar a su negocio el tiempo de inactividad o los incidentes cibernéticos potenciales con el tiempo. Este número de valor en riesgo se puede utilizar para determinar si el costo de la transición es menor que el riesgo potencial de mantener el rumbo y cuándo.
Desafíos de cerrar el software de fin de soporte
El mayor desafío aquí radica en las aplicaciones críticas donde los ingresos están directamente vinculados a la ejecución del servicio. Para las empresas, el tiempo de inactividad significa pérdida de ingresos, por lo que cerrar estos sistemas enfrentará una mayor resistencia.
No se realizarán cambios porque el riesgo de pérdida de ingresos es mayor que el impacto potencial. Esto en sí mismo es un riesgo. Sin embargo, las empresas consideran otros puntos de falla similares y planifican con anticipación. Tomemos, por ejemplo, un empleado especialmente valioso responsable del diseño de productos o el director ejecutivo. Perderlos tiene un impacto severo en el negocio, por lo que el seguro para personas clave generalmente se emplea para reducir los riesgos de factores que escapan al control de una organización.
Incluso en sistemas que se consideran «de misión crítica», a menudo existen lagunas que pueden aprovecharse para implementar cambios. Por ejemplo, un fabricante se resistió a realizar cambios en el sistema que hacía funcionar su línea de producción. Sin embargo, hubo períodos en los que se produjeron cambios de turno y la línea estuvo parada por un corto tiempo.
Al utilizar este tiempo de inactividad planificado para implementar cambios en etapas, el equipo de TI pudo actualizar los sistemas y mantener la productividad. Por tanto, hay formas de planificar con antelación y reducir ese riesgo.
superar obstáculos
¿Qué pasa si ese software no se puede reemplazar? Las protecciones comunes para estos sistemas incluyen ejecutarlos en redes aisladas o desconectadas, pero también se pueden usar firewalls de aplicaciones y otros sistemas de seguridad para restringir la interacción con dispositivos conocidos y confiables.
En estas situaciones, es esencial comprender posibles configuraciones erróneas y formas de acceder al sistema, prevenir posibles ataques y explorar alternativas a la aplicación de parches. La implementación de estas medidas y la capacidad de eliminar el riesgo es un engranaje crítico en una estrategia de defensa en profundidad.
Para las empresas, el software de fin de soporte puede parecer otro gasto de seguridad. Además, los problemas de seguridad se pasan por alto fácilmente cuando las restricciones presupuestarias son elevadas. Para abordar esto, el alcance del impacto debe cuantificarse de una forma que sea comprensible para la empresa: en términos monetarios. La empresa ya mitiga otros riesgos de esta manera, por lo que se puede aplicar el mismo enfoque.
Además de esto, también hay implicaciones más amplias. Los ataques a activos clasificados como no críticos pueden limitarse a esa máquina o software específico, pero pueden afectar a la red más amplia o utilizarse como punto de partida para un movimiento lateral.
Las empresas comprenden los riesgos que existen si sus sistemas se ven comprometidos, pero enmarcar el riesgo en términos de impacto financiero hace que sea más fácil obtener el apoyo de los líderes de la empresa.
El futuro del reemplazo de software: reduzca las dependencias y planifique con anticipación
Todo software tiene un ciclo de vida. Con el tiempo también se sustituirán los sistemas responsables de reservar billetes de avión y gestionar las declaraciones de impuestos.
El desafío es cómo evitar que una empresa se vuelva tan dependiente de un software en particular que eliminarlo se convierta en un riesgo en sí mismo. En lugar de depender de este software, puede ayudar a las empresas a comprender los desafíos y los posibles impactos y planificar el futuro.
Calcular el impacto financiero utilizando el valor en riesgo hace que sea más fácil argumentar desde un punto de vista en términos comerciales, en lugar de depender únicamente del razonamiento técnico.
Source link
