Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

ITSM Round Table Software Update Management

Podobné prezentace


Prezentace na téma: "ITSM Round Table Software Update Management"— Transkript prezentace:

1 ITSM Round Table Software Update Management
Martin Vokurek Lukáš Patka If this presentation is intended for a Workshop, slides 2, 3, 4 should remain in all PPTs. EULA was reviewed by legal for workshops. If there is a different EULA for Assessments, that should be in slide 2. © 2012 Microsoft Corporation Microsoft Confidential

2 SUM – Otázky k zamyšlení
Proč vůbec patchovat? Jak postupovat při patchování, pokud nemáme testovací prostředí Co udělat s aktualizací, která něco rozbila Jak do patchovacího procesu zařadit systém pod zárukou Které z patchovacích oken je lepší a proč: středa 12-13, pátek 18-20, neděle 2-3 ? Jak patchovat systém, který musí být dostupný 24x7? 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

3 Software Update Management Disciplína release managementu
SUM - Cíl Software Update Management Disciplína release managementu Úkolem je … („1 – Proč patchujeme?“) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

4 Software Update Management Disciplína release managementu
SUM - Cíl Software Update Management Disciplína release managementu Úkolem je kontrolovaně a spolehlivě udržovat službu/technologii aktuální Neomezujeme se jen na bezpečnostní aktualizace (i když…) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

5 Microsoft Security Intelligence Report
12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

6 Critical Security update missing 82%
Proč? Critical Security update missing 82% Important Security updates missing 78 % 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

7 Aktuálnost není priorita Strach Nesahej na to, co funguje
Proč? Aktuálnost není priorita Strach Nesahej na to, co funguje Není kde testovat Plánování odstávek Nedůslednost 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

8 Ztráta nebo krádeže dat Zneužití infrastruktury Finanční ztráty
Co se může stát? Výpadky Ztráta nebo krádeže dat Zneužití infrastruktury Finanční ztráty Auditní nálezy Nekonzistence prostředí 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

9 Aktualizace musí být priorita Zapojte vedení Aktualizace jako služba
Jak na to? Aktualizace musí být priorita Zapojte vedení Aktualizace jako služba Měření Komunikace s vlastníky systémů Plánujte nedostupnost Najděte si vhodný nástroj Strategie snižování rizik 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

10 Software Update Management
SUM Assess Identify Evaluate and Plan Deploy Software Update Management © 2012 Microsoft Corporation Microsoft Confidential

11 Cílové systémy Zdroje aktualizací Workflow procesu Kalendář(e)
Komponenty SUM Cílové systémy Zdroje aktualizací Workflow procesu Kalendář(e) Správa výjimek Role a zodpovědnosti Nástroje Metriky 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

12 Zmapovat konfiguraci cílových systémů Definovat strategii testování
Cílové systémy Zmapovat konfiguraci cílových systémů Definovat strategii testování …(2 jak postupovat bez testovacího prostředí?) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

13 Zmapovat konfiguraci cílových systémů Definovat strategii testování
Cílové systémy Zmapovat konfiguraci cílových systémů Definovat strategii testování Stanovit akceptační kritéria Okno pro odstávky Podporovaný HW, SW Rollback řešení – D/R procedura Definovat strategii distribuce 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

14 Servisní mapa © 2012 Microsoft Corporation Microsoft Confidential

15 Component Failure Impact Analysis
© 2012 Microsoft Corporation Microsoft Confidential

16 Proč vůbec aktualizujeme?
Zdroje aktualizací Proč vůbec aktualizujeme? Bezpečnostní rizika Chyby Nová funkcionalita Odkud se aktualizace získávají? Jak často? Hodnocení Závažnost Relevance (MBSA, ACT-UCE) Zodpovědnost * Incident Management, Problem Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

17 Hodnocení XYZ Rating Definition Testing Business PC's Process Control
Critical Any security patch released outside the normal vendor patch cycle or a patch for a vulnerability currently being exploited (Zero-Day). Minimal Immediate Immediate (minimal interuption) Important A vulnerability whose exploitation could allow the propagation of an Internet worm without user action. Extensive The Thursday of the week following Patch Tuesday. (Nine days after Patch Tuesday) Required ASAP (At Your Discretion) Medium A vulnerability whose exploitation could result in compromise of the confidentiality, integrity, or availability of users data, or of the integrity or availability of processing resources. Low Exploitability is mitigated to a significant degree by factors such as default configuration, auditing, or difficulty of exploitation. At Your Discretion Hodnocení * Incident Management, Problem Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

18 Hodnocení XYZ Rating Microsoft Rating Critical Important Medium Low
Important Medium Low Moderate, Low * Incident Management, Problem Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

19 Workflow procesu 12/27/2018

20 Workflow procesu assess, test
12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

21 Workflow procesu deploy, report
12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

22 Různé cykly pro různé služby
Kalendář(e) Unifikovaný Různé cykly pro různé služby (Jak patchovat 24x7 systémy?) (Které okno je lepší, středa 12-13, pátek 18-20, neděle 2- 3?) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

23 Různé cykly pro různé služby
Kalendář(e) Unifikovaný Různé cykly pro různé služby Pravidelný (měsíční) Řízený businessem (plánované odstávky) Intervaly pro různé priority 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

24 Kalendář(e) © 2012 Microsoft Corporation Microsoft Confidential
12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

25 Kalendář(e) © 2012 Microsoft Corporation Microsoft Confidential
12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

26 Nezapomeňte na synchronizační a komunikační body
Omezte možnosti volby data/času Ruční správa restartů Instalace v/po pracovní době Rozdělení do vln (a co nové systémy?) Kalendář(e) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

27 Odmítnuté aktualizace …(3 – co s problémovým fixem?)
Správa výjimek Kritické aktualizace Odmítnuté aktualizace …(3 – co s problémovým fixem?) …(4 – jak na systém pod zárukou?) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

28 Odmítnuté aktualizace Vlastníci systémů odmítají účast
Správa výjimek Kritické aktualizace Odmítnuté aktualizace Vlastníci systémů odmítají účast Jednorázové vyřazení z cyklu 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

29 Role a zodpovědnosti 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

30 Vlastníci/správci systémů
Vlastníci vztahů s dodavateli/technické kontakty Správci distribučních nástrojů Service Desk Správci služeb Bezpečnostní manažer IT Management Role a zodpovědnosti 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

31 Role a zodpovědnosti Patch Release Manažer
Konsoliduje seznam nařízených aktualizací  od bezpečnostního manažera Vytváří dokumentaci ke každému balíku aktualizací (RFC) Zajišťuje výrobu distribučních balíků z dodaného seznamu aktualizací Zajišťuje distribuci aktualizací do centrálního testovacího prostředí Iniciuje provedení základní sady testů v centrálním testovacím prostředí Sbírá výsledky testování z centrálního testovacího prostředí Vyzve administrátory segmentů k testování Sbírá výsledky testování v segmentech 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

32 Nástroje © 2012 Microsoft Corporation Microsoft Confidential
12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential

33 Metriky 12/27/2018

34 Contact Martin Vokurek Lukáš Patka www.microsoft.com/microsoftservices
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION © 2012 Microsoft Corporation Microsoft Confidential

35 Service Catalog Design Service Level Management Proactive Monitoring
Příští kolo (pátek) Service Catalog Design Service Level Management Proactive Monitoring Desired Configuration Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential


Stáhnout ppt "ITSM Round Table Software Update Management"

Podobné prezentace


Reklamy Google