“Alweer patchen? Moet dat? Het werkt toch?”

 

 

Onze Hybrid Cloud Consultant Dennis Voorbij houdt ervan om de IT-infrastructuur robuust en goed beveiligd te houden. Maar toch komt hij opmerkingen zoals in deze titel vaak genoeg tegen in de praktijk. Het is een lastig onderwerp. En roept vaak weerstand op bij mensen. Maar zeker nu, waarbij dagelijks bedrijven gehackt worden zijn de risico’s te groot om dit uit te stellen. Waarom stellen we dit zo graag uit? Maar belangrijker: hoe lossen we dat op? Dennis geeft antwoord op deze twee vragen in onderstaand interview.

 

Die weerstand om te patchen… waar komt dat vandaan?
Allereerst merk ik sowieso dat onderhoud niet het leukste klusje is voor ons. En ja, ik weet dat het er gewoon bij hoort en je de IT-systemen zo veilig houdt en kwetsbaarheden repareert. Voorkomen is beter dan genezen. Een andere belangrijke reden is dat patchen verstoringen kunnen veroorzaken en applicaties niet meer werken. Ook irritant. Dat draagt er wel aan bij dat we dat patchen wel eens voor ons uit willen schuiven.

 

Maar je verstoringen toch voorkomen, door vooraf een patch te testen?
Tuurlijk kan dat, maar dat geeft geen garantie dat het in de productie dús goed gaat. De impact van zo’n patch laat zich lastig inschatten. Die merk je pas in de praktijk. Je ziet dan bijvoorbeeld dat er onder water vooral bij legacy applicaties toch allerlei koppelingen met systemen niet meer goed werken. Of dat er in de nieuwe patch notabene bugs zitten. Ja, ook dat komt voor. Patches worden uiteraard door de leverancier grondig getest, maar 100% veilig en goed bestaat niet. Er was bijvoorbeeld nog niet zo lang geleden een patch van Microsoft voor de domain controllers, waarbij er bij mijn omgeving 8 van de 10 plotseling gingen rebooten. Nou, dan heb je wel een uitdaging als IT’er. Dan krijg je de business meteen op je dak! Dus dit zijn allemaal argumenten om patchen uit te stellen.

 

Op zich begrijpelijk, maar niet verstandig. Hoe kan je dat veranderen?
Ik stel dan altijd voor om maandelijks een zogenaamd “patch window” af te spreken en in de agenda te zetten. Op die en die dagen en tijdstippen doe je de maintenance van de systemen. Ik vind het ook belangrijk om de business over deze patch windows te informeren, zodat zij precies weten dat er op die momenten een verminderde performance van IT-systemen kan zijn. Zo krijgen zij ook de gelegenheid om hun werkzaamheden daarop aan te passen. Zo wordt patchen een recurrent event en niet iets dat ad-hoc wordt gedaan of erger nog… uitgesteld wordt. Zo worden de reguliere patches in één keer uitgevoerd. Een uitzondering natuurlijk: critical patches. Als het om een groot lek gaat zoals een zero day, dan wordt dat met het management besproken, zodat zij kunnen beslissen of zo’n patch wel of niet direct uitgevoerd moet worden.

 

Wat is het resultaat als je werkt met zo’n patch window?
Dat het dan ook daadwerkelijk gebeurt. En geen uitstelgedrag meer. Het is een item op de agenda waar iedereen, dus ook de business, rekening mee houdt. Wanneer je er een maandelijks terugkerend item van maakt, merk ik dat het steeds meer een routine wordt bij het team. Om mensen hiervan te overtuigen maak ik zelf wel eens de volgende vergelijking: “je maakt toch ook halfjaarlijks een afspraak bij de tandarts voor controle?” Nou, zo werkt dat eigenlijk ook met IT.

×

Heb je een vraag?

Klik hieronder om ‘m snel te stellen aan ons via WhatsApp!

×