La mayoría de vosotros estareis familiarizados con los conocidos "patch tuesday" de Microsoft. Lo que posiblemente no se conozca tan ampliamente es el porqué de todo este procedimiento de publicación de avisos y parches es así. Pues bien, todo este proceso se rige bajo las directivas de una iniciativa de la propia Microsoft, la iniciativa Trustworthy Computing (TwC).

Microsoft

La iniciativa de TwC (Trustworthy Computing) fue pensada y diseñada por Microsoft allá por el año 2001 con una visión a largo plazo y el objetivo básico de crear una computación basada en tres pilares fundamentales, seguridad, privacidad, confiabilidad y mejores prácticas.

Seguridad: garantizar la seguridad de los sistemas y la información contra ataques (basado en un enfoque que considera a las tecnologías, las personas y los procesos como bases de la Seguridad.)

Privacidad: mantener segura la información personal, financiera e identidad; mientras su control y uso quedan a disposición de su dueño.

Confiabilidad: utilizar software resistente y confiable para atender las necesidades del usuario y el negocio.

Mejores prácticas: el objetivo de Microsoft de ser responsable y transparente, con foco interno en la excelencia de nuestros procesos y decisiones, considerando las mejores prácticas de la industria.

Con estas premisas se diseñaron el modelo SDL (Secure Development Life Cycle ó Ciclo de vida de desarrollo seguro) y el MSRC (Microsoft Security Response Center). El SDL establece las pautas, procesos de desarrollo y controles para que todo el software de Microsoft cumpla todas las cuestiones referentes a seguridad y el MSRC asegura la actitud proactiva respecto a cualquier problema, para mitigar y solucionar el riesgo asociado.

Es esta política proactiva a través de la cual se decretó que cada segundo martes de cada mes, Microsoft debía informar a sus clientes y a la comunidad en general, sobre las mejoras que deben instalar en sus plataformas para solucionar los problemas detectados. Junto a esta información existe asociado un esquema de comunicación y divulgación compuesto por diversas etapas que encontrareis seguro muy familiares.

Antes de la publicación:

• Notificación avanzada de boletines de seguridad: tres días hábiles antes de la publicación

Segundo martes (Día de publicación):

• Actualizaciones enviadas al centro de descarga, la actualización de Windows o la actualización de Office

• Boletines publicados

• Notificaciones a los clientes a través de correo electrónico y servicio de mensajes instantáneos

• Divulgación en la comunidad

• Alertas y avisos a MS Field

Tras la publicación

• Conferencia en línea sobre el boletín de seguridad

• Conferencias en línea adicionales si fuese necesario

• Supervisar los problemas de los clientes y la respuesta en el boletín a través de los Servicios de soporte técnico y Windows Update

• Mantenimiento del boletín

Personalmente creo que la combinación de SDL como de MSRC es un modelo que funciona adecuadamente y a la vista está en el incremento de los cuatro pilares de la TwC de los últimos sistemas operativos y software de la compañía, que si bien siguen presentando vulnerabilidades (cosa casi inevitable) son muchísimo más robustos que sus predecesores.