Diğer bütün karmaşık işlemler gibi yama yönetiminin en doğru yöntemleri ile ilgili de yanlış düşünceler yaygın olarak görülüyor. Yama yönetimi görevini üstlenen sistem yöneticileri genelde resmi bir proses sonucunda değil, çeşitli farklı kaynaklardan duydukları tavsiyelere göre davranıyorlar. Bunun sonucunda da mantıklı görünen fakat yararından çok zararı olan tavsiyeler uygulanabiliyor. Bu yazıda yama yönetimi ile ilgili 4 ana yanılgıdan bahsedilecektir.

Yanılgı #1: Bir yamayı geçmeden önce en az bir ay beklemelisiniz
Çoğu firmada yama çıktıktan sonra dahili sistemlere kurmadan önce bir kaç haftanın geçmesi bekleniyor. Bundaki mantık, "eğer güvenlik mesaj listelerinde yama ile ilgili çığlıklar duyulmuyorsa yamayı geçmek güvenlidir".
Bu düşüncedeki yanılgı, yamanın problem yaratıp yaratmayacağını kendi testleriniz sonucunda karar vermeniz gerekmesidir. Internet'teki anekdot tarzındaki kanıtlara güvenemezsiniz. Tabiki bu bilgiler bazı problemlere işaret ediyor olabilir fakat bu problemler kendi test ekibinizin de bulabileceği problemlerdir. O halde, kendi testlerinizle hataları daha önceden tespit etmek varken, neden başkalarının ne dediğini dinlemek için 1 ay bekleyesiniz.

Düşünülmesi gereken bir diğer konu da yamaların çıkarılışı ile bir exploit kodunun çıkışı arasındaki sürenin gün geçtikçe kısalması.

Yanılgı #2: Eğer bir yama bazı konfigürasyonlarınızda problem yaratmıyorsa bütün konfigürasyonlarınızda problem yaratmayacaktır.
Yeni çıkan bir yamayı firmanızdaki bütün masaüstü bilgisayarlara geçmeniz gerekiyor. Yamayı IT departmanındaki XP sistemlere kurdunuz ve bir problem çıkmadı. CEO'nun asistanının makinasına kurdunuz ve bir problemle karşılaşmadınız. Halkla ilişkiler departmanındaki 5 makinaya kurdunuz ve hiçbir problem çıkmadı. Daha sonra yama yönetimi yazılımınızla bütün sistemlere yamaları geçtiniz. Ve muhasebe departmanındaki bazı bilgisayarlarda probleme yol açtığını duydunuz.

Biraz daha iş gücü gerektirebilir fakat yamaları geçmeden önce firmadaki tüm konfigürasyonlarda denemek gerekiyor. Eğer bunu yapmazsanız büyük ihtimalle önemli bir uygulama çalıştıran bir grup kullanıcıda problemlerin çıkması ile karşı karşıya kalabilirsiniz. Bunu yapmanın kolay yollarından biri farklı konfigürasyona sahip bilgisayarlar için, her departmandan bir kurban seçmek yerine, sanal makinelerde kopyalarını yaratıp testleri hızlıca bu lab ortamında deniyebilirsiniz.

Yanılgı #3: Bir yamayı sadece birkez geçmelisiniz.
Bir yamayı ağınızdaki tüm bilgisayarlara geçiyorsunuz. Bir hafta sonra bütün bilgisayarlara yamanın geçilip geçilmediğini kontrol için tarama yapıyorsunuz. Maalesef, bütün bilgisayarlara geçildiğinden hala emin olamazsınız. Diyelim ki uzaktaki şubelerden birinde bir bilgisayar bir iki haftalığına bozukluk sebebi ile veya kullanan kişinin yokluğu sebebi ile kapalı kaldı. Bilgisayar açıldığında yaması geçilmemiş olarak kalacak çünkü siz yeni açıkların yamalarına geçmiş durumdasınız. Yeni bir yamanın doğru olarak geçilmiş olup olmadığını kontrol ederken ekstra vakit harcayarak diğer yamalarında düzgün geçili olup olmadığını kontrol edin.

Yanılgı #4: Yama yönetimi için tek bir doğru metod vardır.
Bir yama yönetimi planı geliştirirken akılda olması gereken belirli bazı ilkeler olmasına rağmen, tek bir doğru metod yoktur. Her firma benzersizdir. Bir yerde çalışan bir teknik (örneğin her cuma saat 17:00 de yamaları geçmek) başka bir yerde uygulanamayabilir. YÖneticilerin yama yönetimi planlarını firmaları için özel olarak hazırlamaları gerekmektedir.

Bir yama yönetimi planı statik olmamalıdır. Firmanın ihtiyaçlarını karşılayıp karşılamadığı periyodik olarak gözden geçirilmelidir. Bu alanda çalışmış herkes firmanın yapısının çok kısa süre için statik kaldığını bilir. Yapısal değişiklikler mevcut yama yönetimi planınızı etkileyebilir -- WAN bağlantıları upgrade veya downgrade edilmiş olabilir veya bütçedeki değişiklikler ile kaynak kullanımında değişiklikler olabilir.

Eğer başkaları için geliştirilmiş bir yama yönetimi planını uygulamanız gerekirse, firmanızın ihtiyaçlarını karşılayıp karşılamadığını analiz edin. Hatalı bir protokolü takip etmeyin. Eğer protokol başarısızlığa uğrarsa giden sizin başınız olacaktır. Son olarak herşeyin uygun olduğuna karar verip uygulamaya geçildiğinde, sizden sonra gelebileceklerin bıraktığınız yerden kolayca devam edebilmesi için herşeyi dokümante edin.

Orin Thomas
26 Ekim 2005
Kaynak: http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1137131,00.html?track=NL-122&ad=531730HOUSE

__________________________