Metodología para el parcheo de servidores: planificación, optimizaciones y automatización

Abstract

[ES] Este Trabajo Fin de Grado persigue desarrollar una metodología general a seguir para realizar correctamente el parcheo de servidores. Con esta metodología se pretende resolver el problema actual de que no existe un documento que abarque todos los aspectos fundamentales del parcheo de servidores, además de no existir un enfoque empresarial en el que se muestre como se debería tratar con el cliente. Con este trabajo, se pretende organizar y gestionar el parcheo de servidores de una forma sistemática y de la forma más automatizada posible, para un mayor ahorro de recursos y una mayor eficiencia operativa, logrando un fortalecimiento en la organización. Aplicando esta metodología, permitirá mitigar vulnerabilidades y mantener la seguridad de los sistemas informáticos con actualizaciones periódicas, sin afectar la producción o negocio del cliente, incluso en el caso de enfrentarnos a un número masivo de servidores. Para lograr realizar esta metodología correctamente, se deben explicar y detallar tres aspectos importantes: la planificación acordada junto al cliente con todos los factores a considerar, las herramientas de automatización posibles y la ejecución del parcheo y sus optimizaciones posibles. Incluyendo todos estos aspectos se espera lograr una metodología robusta y completa que sirva de guía y contribuya al conocimiento en seguridad informática.

[EN] This Final Degree Project aims to develop a general methodology to follow in order to correctly patch servers. This methodology aims to solve the current problem that there is no document that covers all the fundamental aspects of server patching, in addition to the lack of a business approach that shows how the client should be treated. With this work, it is intended to organize and manage the patching of servers in a systematic way and in the most automated way possible, for greater savings of resources and greater operational efficiency, achieving a strengthening in the organization. Applying this methodology will allow mitigating vulnerabilities and maintaining the security of computer systems with periodic updates, without affecting the client's production or business, even in the case of facing a massive number of servers. To achieve this methodology correctly, three important aspects must be explained and detailed: the planning agreed with the client with all the factors to be considered, the possible automation tools and the execution of the patch and its possible optimizations. By including all these aspects, it is expected to achieve a robust and complete methodology that serves as a guide and contributes to knowledge in computer security.

[CA] Este Treball fi de grau perseguix desenvolupar una metodologia general a seguir per a realitzar correctament els pegats de servidors. Amb esta metodologia es pretén resoldre el problema actual que no existix un document que abaste tots els aspectes fonamentals dels pegats de servidors, a més de no existir un enfocament empresarial en el qual es mostre com s’hauria de tractar amb el client. Amb este treball, es pretén organitzar i gestionar els pegats de servidors d’una forma sistemàtica i de la forma més automatitzada possible, per a un major estalvi de recursos i una major eficiència operativa, aconseguint un enfortiment en l’organització. Aplicant esta metodologia, permetrà mitigar vulnerabilitats i mantindre la seguretat dels sistemes informàtics amb actualitzacions periòdiques, sense afectar la producció o negoci del client, fins i tot en el cas d’enfrontar-nos a un nombre massiu de servidors. Per a aconseguir realitzar esta metodologia correctament, s’han d’explicar i detallar tres aspectes importants: la planificació acordada al costat del client amb tots els factors a considerar, les ferramentes d’automatització possibles i l’execució dels pegats i les seues optimitzacions possibles. Incloent tots estos aspectes s’espera aconseguir una metodologia robusta i completa que servisca de guia i contribuïsca al coneixement en seguretat informàtica.