'Zo test je de updates voor je organisaties goed'

De gids zal uitkomen onder de vlag van het gerespecteerde NIST en zal daarom naar alle waarschijnlijkheid snel uitgroeien tot een standaardwerk, verwacht ZDNet. Het initiatief kwam echter vooral van Microsoft. Het bedrijf heeft in de nasleep van de grote malware-uitbraken zoals WannaCry, een analyse gemaakt van de manier waarop organisaties omgaan met beveiligingsupdates.

Het blijkt dat het vertraagd patchen bij bedrijven een belangrijke oorzaak is van de impact die de malware heeft gehad. Organisaties willen de beveiligingsupdates eerst uitvoerig testen met alle software en infrastructuur die in een organisatie in gebruik is om problemen te voorkomen. Daardoor zit er veel tijd tussen het uitkomen van de patch en het moment dat de IT-infrastructuur beveiligd is. Microsoft is gaan onderzoeken waar de belangrijkste vertragende factoren zitten in dat testproces door veel interviews te houden.

Vaak helemaal geen testprocedure

Het ontbreken van een goede testprocedure bleek een rode draad in die gesprekken. Sommige bedrijven hebben zelfs helemaal geen testprocedure en kiezen er standaard voor te wachten om te zien of andere organisaties problemen melden. Dat was de basis van het plan om samen met NIST kant-en-klare recepten op te stellen hoe - bij voorkeur met open source tools - een goedwerkende testprocedure kan worden opgezet.

Er is nog geen deadline gepland voor de publicatie van de NIST-gids.