Describimos las opciones que tenemos ante la cercana pérdida de soporte de Microsoft para Windows 7 y Windows Server 2008.
- Windows 7 y Windows Server 2008 dejan de recibir actualizaciones de seguridad en enero de 2020
- ¿Qué ocurre si se detecta una vulnerabilidad crítica que afecta a sistemas obsoletos?
La llegada del RGPD ha supuesto un cambio en la concepción de la seguridad de los datos en las empresas. No se trata solo de una nueva normativa, sino de una nueva filosofía de la seguridad.
Por eso, que un sistema operativo deje de recibir actualizaciones puede convertirse en un problema para cumplir con la normativa de protección de datos. La gran pregunta que surge es ¿y, ahora, qué hacemos? Hay que comprender las opciones que tenemos y las implicaciones de cada posible decisión.
Fin del soporte de Windows 7 y Windows Server 2008 R2
El 14 de enero de 2020 es una fecha marcada en el calendario por muchas empresas:
- Windows 7, uno de los sistemas operativos más utilizados por sus sistemas informáticos deja de tener soporte por parte de Microsoft.
- También afecta a Windows Server 2008 R2, su versión para servidores.
Esto significa que, a partir de ese día, dejaremos de recibir las “odiosas” actualizaciones que muchas veces entorpecen el trabajo.
Pero estas actualizaciones corrigen problemas de seguridad detectados, algunos de ellos especialmente graves que pueden poner en peligro los sistemas informáticos y, lo que es peor, los datos de nuestras organizaciones y, entre ellos, los datos personales. Y esto lógicamente es un grave problema para la protección de datos.
Si mantenemos nuestro ordenador sin estos parches de seguridad, puede que algún atacante utilice alguno de estos agujeros, muchas veces bien conocidos, para colarse y tomar el control de nuestra máquina. Y, lógicamente, esto es un problema para la mayoría de las empresas.
No es el primer sistema operativo que deja finalizado su soporte. Hace unos años las empresas vieron cómo se acababa el de Windows XP, otro de los sistemas muy utilizados a nivel corporativo, pero entonces todavía no estaba vigente el RGPD. Si se tomaban las iniciativas de seguridad oportunas y, teniendo en cuenta que en las empresas existen medidas adicionales que limitan el riesgo como puede ser la implantación de cortafuegos, con esas precauciones podía ser suficiente para mantener esos ordenadores en funcionamiento un poco más.
¿Qué hará Microsoft si detecta una vulnerabilidad crítica?
- El problema surge cuando se detectan problemas de seguridad severos, lo que se conocen como vulnerabilidad crítica. Se trata de un fallo de seguridad del que se tiene constancia de que se está explotando para atacar a los equipos informáticos. Lo normal en estos casos es que Microsoft saque una actualización que solucione este problema y lo distribuya tan pronto como sea posible.
- La experiencia nos dice que, en casos de extrema gravedad, incluso puede parchear los sistemas que ya no tienen soporte, como ha hecho en el pasado con Windows XP. Pero es una decisión que no dependerá de nuestra compañía. Lo normal es que nuestros sistemas operativos sin soporte no reciban el parche de seguridad y los datos de la empresa queden expuestos.
¿Qué alternativas tiene nuestra empresa para cumplir con el RGPD?
Esta cuestión supone que las empresas deben tomar una decisión en estos escasos seis meses que quedan para la finalización del soporte. Lo primero que hay que valorar es cuántos equipos están utilizando estos sistemas operativos y, por lo tanto, pueden verse afectados. A partir de aquí hay que tomar una decisión y preparar un plan de actuación con algunas de las siguientes medidas:
- Migrar los equipos a Windows 10, lo que en muchos casos supone casi un ordenador nuevo, ya que instalar un nuevo sistema operativo en un ordenador con componentes anticuados puede afectar a su rendimiento, aunque dependerá de cada máquina y sus características.
- Si tenemos alguna aplicación que no pueda funcionar en Windows 10 y tenemos que mantener Windows 7, Microsoft ha facilitado la opción de contratar un soporte ampliado bajo pago, que nos permitirá seguir recibiendo actualizaciones de seguridad para aquellos equipos que no se hayan podido migrar. El precio rondará los 45 euros por equipo el primer año e irá aumentando para los años sucesivos para los que se amplíe soporte. Puede ser una solución temporal para ganar tiempo, pero cara si queremos mantener el equipo tres años más.
- Añadir medidas de seguridad adicionales, no solo un antivirus, sino también un cortafuegos, más control sobre las copias de seguridad, etc. para no tener problemas a la hora de recuperar los datos. Esta última solución no nos asegura que no tengamos un problema de seguridad.
El principal inconveniente de seguir utilizando estos sistemas sin actualizaciones de seguridad lo tendremos si tenemos una brecha de seguridad que afecta a los datos. Las empresas están obligadas a comunicar dichos incidentes a la AEPD y tomar las medidas correctivas oportunas.
A partir de aquí tendremos que esperar si se estima que las medidas de seguridad que teníamos en marcha eran suficientes para cumplir con el RGPD o hemos incumplido por tener un sistema operativo sin actualizar dentro de nuestra organización, en caso de que se determine que un atacante ha aprovechado esta vulnerabilidad para acceder a nuestros equipos.
