Por: John Cable, vicepresidente, gestión de programas, servicio y entrega de Windows.
Este año marca un hito muy importante para la historia de Microsoft, el producto Windows y para la informática en general: 20 años de actualizaciones de Patch Tuesday. Con más de 1.4 mil millones de dispositivos Windows activos al mes en servicio, y miles de millones más de dispositivos atendidos a lo largo del recorrido de Windows, nuestro objetivo es mantener a los usuarios de todo el mundo protegidos y productivos.
En el clima de seguridad actual, nuestro trabajo en toda la empresa y la industria en general para mantener este ecosistema crítico seguro es más importante que nunca. Y aunque también enviamos correcciones de errores y otras nuevas características a través de la innovación continua, al final la seguridad es el trabajo número uno. Las actualizaciones mensuales de Patch Tuesday sirven como un vehículo para eso. Creado a partir de una iniciativa de toda la empresa en 2002, Patch Tuesday se ha convertido en un estándar de la industria bien conocido, que mantiene no solo a Windows sino también a las personas, empresas e instituciones que dependen de él protegidos y productivos durante 20 años
En este artículo, compartiremos un poco sobre la historia de Patch Tuesday y cómo continúa su evolución a través de un enfoque basado en principios.
El origen e historia de Patch Tuesday
El 12 de enero de 2002, Bill Gates publicó un correo electrónico a toda la empresa en el que anunciaba la creación de la iniciativa Trustworthy Computing (TwC). Representó un cambio de paradigma, que empujó a los equipos de seguridad a cambiar su forma de pensar hacia la seguridad de las características mismas a lo largo de la amplitud de nuestros productos. A partir de esta importante iniciativa, consolidamos nuestro proceso de actualización de seguridad en una cadencia predecible de actualizaciones mensuales de Patch Tuesday. Los aspectos más destacados de la tenencia de 20 años de Patch Tuesdays a continuación, muestran la evolución continua de esta crítica y bien establecida práctica:
2003–2007
- Comienzan las actualizaciones de Patch Tuesday. Introducen procesos de gestión de parches de apoyo, incluidos los servicios de Windows Update y Microsoft Update.
- Se lanzan Windows Vista y luego Windows 7Ambos incorporan características de seguridad mejoradas, Control de Cuentas de Usuario (UAC, por sus siglas en inglés), Windows Defender y capacidades mejoradas de firewall.
2008–2012
- Las nuevas actualizaciones fuera de banda (OOB, por sus siglas en inglés) abordan amenazas inminentes como la vulnerabilidad del gusano Conficker.
- La expansión del Ciclo de Vida de Desarrollo de Seguridad proporciona un robusto conjunto de mejores prácticas y directrices para desarrollar software seguro.
- Nuevas herramientas ayudan a las organizaciones a desplegar y evaluar el estado de las actualizaciones de seguridad. Estas incluyen los servicios de Windows Server Update Services (WSUS) y el Analizador de Seguridad de Línea de Base de Microsoft (MBSA).
- Las características de Windows 8 mejoran las medidas de seguridad. Damos la bienvenida a Secure Boot, las mejoras de Windows Defender y los desarrollos adicionales en el Control de Cuentas de Usuario (UAC).
2013–2017
- Se introduce Windows 10. Representa un cambio fundamental hacia un modelo de «Windows como servicio». Está acompañado por el lanzamiento inaugural de las páginas de historial de actualizaciones de Windows, más comúnmente conocidas como notas de la versión.
- Se desarrollan y lanzan nuevas mejoras de seguridad que tienen como objetivo proporcionar una protección más fuerte contra el malware, el acceso no autorizado y el robo de credenciales. Se desarrollan y lanzan Device Guard, Credential Guard y Windows Hello.
- Windows Update for Business entra en funcionamiento. Permite a las organizaciones tener más control sobre cuándo y cómo desplegar las actualizaciones de Windows.
- La calidad y la fiabilidad de las actualizaciones de seguridad continúan como el foco de la conversación. «En cada nueva actualización de calidad mensual, añadimos otra capa de seguridad, una que sigue las tendencias emergentes y cambiantes en el malware y los virus» (John Cable, 20 de septiembre de 2017).
- Tomamos medidas proactivas para reforzar la transparencia y alinearnos con las Regulaciones Generales de Protección de Datos (GDPR, por sus siglas en inglés). Las organizaciones obtienen la confianza que necesitan para mantener sus dispositivos actualizados.
2018–Presente
- Comienza una colaboración en toda la industria en torno a la aplicación proactiva de parches de firmware. Esto sigue a una divulgación pública de las vulnerabilidades de hardware Spectre & Meltdown. Las actualizaciones de calidad mensuales sirven como una herramienta para expandir las actualizaciones de microcódigo a los dispositivos.
- El uso del aprendizaje automático optimiza las experiencias de actualización de Windows a medida que continúan las medidas proactivas en las actualizaciones de Windows. La IA se convierte en una herramienta para servir las actualizaciones de características de Windows 10.
- El rigor y la transparencia crecen: «La escala y diversidad del ecosistema de Windows nos requiere adoptar un enfoque basado en datos para la calidad y aprovechar la automatización para las pruebas, validación y distribución» (Mike Fortin, ex CVP, 10 de diciembre de 2018). La discusión de los esfuerzos de validación de calidad a través de Patch Tuesday incluye el Programa de Validación Pre-lanzamiento (PVP, por sus siglas en inglés), las Pruebas de Profundidad (DTP, por sus siglas en inglés), las Pruebas Mensuales (MTP, por sus siglas en inglés), el Programa Insider de Windows (WIP, por sus siglas en inglés) y el Programa de Validación de Actualizaciones de Seguridad (SUVP, por sus siglas en inglés).
- El panel de salud de las versiones de Windows ofrece a todos una única ventana para ver los problemas conocidos en las actualizaciones de características y calidad mensuales.
- En respuesta a la emergente pandemia de COVID-19 en 2020, las herramientas relacionadas con el trabajo remoto reciben un mayor enfoque. Abordamos las vulnerabilidades en los Servicios de Escritorio Remoto y Microsoft Teams, así como la extensión del Fin de Soporte para ciertas versiones activas de Windows.
- Los Reversiones de Problemas Conocidos (KIRs, por sus siglas en inglés) ayudan a los dispositivos a volver con rapidez a un estado productivo si se ven afectados de manera inadvertida por un problema de actualización.
- En agosto de 2022, los nuevos bloqueos de salvaguarda anunciados con el servicio de despliegue de Windows Update for Business ayudan a las organizaciones con la implementación de actualizaciones.
- Ese mismo año, la Plataforma de Actualización Unificada (UUP, por sus siglas en inglés) en las instalaciones está disponible para las organizaciones comerciales como una vista previa pública. Integrado con los Servicios de Actualización de Windows Server (WSUS, por sus siglas en inglés) y Configuration Manager, simplifica la implementación de actualizaciones de calidad y características. Alcanza la Disponibilidad General en 2023.
- Windows Autopatch emerge como una parte creciente de la experiencia de Patch Tuesday.
- Microsoft lanza la Iniciativa de Futuro Seguro en toda la empresa para perseguir nuestra próxima generación de protección de ciberseguridad.
Aunque hay más aspectos destacados y bajos a lo largo de ese recorrido, Microsoft sigue comprometida con nuestra misión. Nuestras inversiones ayudan a cada individuo y organización en todo el mundo a lograr más, mientras se mantienen protegidos y productivos con Windows.
Nuestra evolución de Patch Tuesday basada en principios
Las nociones de seguridad y productividad han evolucionado de manera tan drástica como el mundo de la tecnología. Como Brad Smith compartió de manera reciente en su publicación de blog del 2 de noviembre Un nuevo mundo de seguridad: la Iniciativa de Futuro Seguro de Microsoft, esos esfuerzos solo se intensifican. Esto significa grandes desafíos y oportunidades para la visión de Microsoft de alinearse en empoderar a todos para lograr más a través de sus productos, incluyendo Windows.
Windows es una herramienta crítica y más importante que nunca para cómo la gente trabaja y juega. Continuaremos enfocándonos en evolucionar la experiencia de actualización. En específico, hemos elevado la calidad del aprendizaje, la adaptación y el servicio a nuestra base de clientes cada vez más diversa en todo el mundo, adhiriéndonos a cuatro principios para el proceso de servicio mensual de Windows:
- Previsibilidad: La cadencia de lanzamiento mensual de Windows debería alinearse de manera previsible con el segundo martes de cada mes.
- Simplicidad: Todos deberían ser capaces de manejar una experiencia de parcheo simple, regular y consistente. No importa si son usuarios individuales de Windows o gerentes de TI que supervisan su organización. No deberían necesitar detener lo que hacen para probar de manera rigurosa una actualización antes de desplegarla.
- Agilidad: En el panorama informático actual, las amenazas de seguridad exigen respuestas rápidas. Debemos proporcionar a todos los usuarios de Windows actualizaciones rápidas sin comprometer la calidad o la compatibilidad.
- Transparencia: Para simplificar el proceso de actualización para individuos y para empresas grandes y pequeñas, todos deberían tener acceso a tanta información como necesiten. Deberían poder entender las actualizaciones con antelación. Esto incluye notas de la versión comprensibles pero claras, guías para herramientas comunes de servicio, acceso a asistencia y un sistema de retroalimentación.
Lanzar actualizaciones mensuales de Windows de la más alta calidad es todavía una situación crítica. Nuestro compromiso con la mejora y evolución de la calidad de los parches de Windows informa los esfuerzos y el compromiso hacia la detección rápida de problemas, las mitigaciones rápidas, las comunicaciones claras y prescriptivas, y el aprendizaje y las mejoras continuas. Con las nuevas tecnologías de parcheo en caliente demostrándose a sí mismas en Azure Fleet y Windows Server Azure Edition, el futuro para el parcheo es brillante mientras todavía perseguimos actualizaciones rápidas, fiables y seguras para la mejor experiencia de actualización posible. También invertimos en nueva tecnología y talento de IA, así como en liderazgo y asociaciones entre equipos, para asegurar que podemos mantenerlos protegidos y productivos durante los próximos 20 años de Windows.