Automat pod kontrolą

Nie należy się spodziewać, że raz skonfigurowane i uruchomione oprogramowanie nie będzie wymagało nadzoru i uwagi administratora. Samo pojawienie się słowa "automatyzacja" nie oznacza, że po kliknięciu "Włącz", system sam zrobi resztę. Narzędzie powinno uzupełniać procedury aktualizacji, usprawniać testy, uwzględniać rozwiązywanie problemów, które mogą się pojawić. Na przykład, administrator patrząc na raport wskazujący jakąś ilość niezainstalowanych poprawek, powinien sprawdzić, co się stało i spróbować je znów zainstalować. W dużych firmach, takich jak HDS, jeden z inżynierów jest administratorem narzędzi typu Lumension, zarządza uaktualnieniami, testami, przepływem informacji itp. Wymaga to dość dużo pracy, około 30 do 40 procent czasu pracy tego pracownika. Mimo wszystko, jest to znacznie wydajniejsze niż proste narzędzia, takie jak WSUS i podobne.

Testy, testy

Twórcy oprogramowania przed wydaniem aktualizacji wykonują wewnętrzne testy, ale skupiają się głównie na określeniu, czy dana paczka trzyma standardy firmy i na weryfikacji, że dany patch robi to, co ma robić. Po aktualizacji mogą wyniknąć problemy związane na przykład z kompatybilnością. Właśnie z tych powodów implementację łaty muszą poprzedzić dogłębne testy, które odpowiedzą na pytanie, czy dana aktualizacja może znaleźć się na kilkuset czy nawet kilkudziesięciu tysiącach komputerów. Ponieważ producent nie może przewidzieć wszystkich kombinacji sprzętu i oprogramowania, w każdej organizacji musi być wdrożona procedura testów, określająca poziom i dogłębność testów przed zainstalowaniem aktualizacji - tak samo jak poziom potrzebnego zarządzania nimi.

Przykładem takiej procedury może być sposób obsługi aktualizacji dostarczanej z serwerów Microsoftu poprzez Lumension w firmie HDS. Po pobraniu paczki, następuje 10-dniowy okres testowania kompatybilności, kiedy inżynierowie testują binaria i używają Lumensiona, by ocenić biuletyny bezpieczeństwa, tworzone przez Microsoft dla środowiska informatycznego HDS. Potem jeden z pracowników ocenia, które z aktualizacji są najbardziej odpowiednie i przesyła je dalej, do testów. Środowiska testowe mają pięć dni na określenie ryzyka, jakie dana aktualizacja niesie ze sobą. Czerwony sygnał oznacza, że aktualizacja zepsuła coś w systemie, żółta - że są ostrzeżenia i potrzebne jest wsparcie techniczne, a zielona oznacza, że aktualizacja może być wdrożona w reszcie komputerów. Nawet wtedy aktualizacja nie jest instalowana od razu na wszystkich 2600 jednostkach, by zminimalizować ryzyko. Gdy wszystko jest już gotowe, to prawie czas na następny wtorek aktualizacji Microsoftu. Procedura taka nie jest ani szybka, ani prosta, ale jest niezbędna, by zachować ciągłość pracy.

Nie tylko system

Wg Instytutu SANS, nie poprawiane aplikacje desktopowe (np. Adobe Acrobat Reader, Microsoft Office i Apple QuickTime) stwarzają większe zagrożenie dla różnych firm i organizacji niż brakujące aktualizacje systemu operacyjnego. Wynika stąd podkreślany fakt, że wspomnianą procedurą muszą być objęte nie tylko aktualizacje systemu Windows, ale także całość oprogramowania pracującego w organizacji.

W większości, dużym firmom zabiera prawie dwa razy więcej czasu usunięcie błędów po stronie takich programów niż po stronie systemu operacyjnego - twierdzi SANS.

Większość pakietów umożliwia aktualizację także tego oprogramowania, które nie jest częścią systemu Windows, takiego jak Java, Adobe Reader, Flash lub Exchange czy SQL Server.

Łatwość użycia

Wiedząc, że zarządzanie aktualizacjami może pochłaniać znaczne ilości czasu, ważne jest, by obsługa programu była możliwie łatwa. Wiele firm potrzebuje prostego programu - z punktu widzenia administratora - by móc tworzyć różnego rodzaju pakiety aktualizacji, by móc łatwo przerwać lub zatrzymać część procesu i by łatwo otrzymywać raporty związane ze stanem aktualności i możliwym ryzykiem. Szczególnym miejscem, które warto sprawdzać, są raporty, takie jak wykresy pokazujące miejsca o największym ryzyku. Wtedy administrator nie musi spędzać czasu na dostosowywaniu danych.