En el mundo de la informática hay muchos peligros, y solemos estar expuestos sin saberlo. Es importante que seamos conscientes de cómo pueden afectarnos, tanto en lo personal como en nuestros negocios. Para ello, es necesario conocer el significado de algunos conceptos clave para la seguridad de la información.
Los análisis de vulnerabilidades consisten en el proceso de identificar las falencias de los distintos sistemas de información. Para ello existen varias herramientas, y llevarlo a cabo requiere experiencia en el tema.
Algunas definiciones
Información
La información es un conjunto de datos procesados que cambian el estado del conocimiento y por lo tanto es la base para la toma de decisiones.
Seguridad de la información
Con seguridad de la información nos referimos principalmente a integridad, disponibilidad y confidencialidad de la información. El objetivo de la seguridad es preservar estos tres pilares.
En el mundo corporativo, se usa para proteger los datos que recopila y gestiona una organización. La información es un recurso clave para las empresas, por lo que gestionar de manera eficaz su procesamiento, almacenamiento y transmisión es fundamental.
La seguridad de la información está regulada por ejemplo por la norma ISO 27001, entre otras regulaciones y marcos normativos. Esta disposición permite el aseguramiento, la confidencialidad e integridad de la información, así como de los sistemas que la procesan.
Por su parte, la implantación del estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite evaluar el riesgo y los controles necesarios para mitigarlos.
Vulnerabilidad
Se trata de una debilidad o fallo en un sistema de información que abre la puerta para que un atacante o situación no prevista pueda comprometer la integridad, disponibilidad o confidencialidad de los datos.
En otras palabras: son las condiciones y características de los sistemas de una organización que la hacen susceptible a las amenazas. Las vulnerabilidades tienen diferentes orígenes, como errores de configuración, fallas en el diseño o en procedimientos.
Amenaza
Una amenaza es una acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información.
Riesgo
El riesgo consiste en las probabilidades de que una amenaza explote la vulnerabilidad de un activo de información y, por tanto, dañe a una organización.
Así, gestionar los riesgos es fundamental para gestionar la seguridad de la información de manera eficiente y responsable.
¿Cómo medimos una vulnerabilidad?
Si desconocemos la vulnerabilidad, no podemos definir su gravedad, por lo tanto, primero hay que identificarlas. Para medir la severidad de las vulnerabilidades conocidas existe el Common Vulnerability Scoring System (CVSS). Esta métrica permite calcular el impacto que tendrá determinada vulnerabilidad si es explotada.
El CVSS clasifica la vulnerabilidad según el parámetro que afecte: privacidad, disponibilidad, confidencialidad, entre otros. También contempla el vector de acceso, la complejidad para llevar a cabo la explotación, si se requiere autenticación, etcétera.
¿Qué podemos hacer respecto a las vulnerabilidades?
Como pasa en gran parte de los temas de seguridad de la información, nuestra mejor herramienta es prevenir. En este caso, mi recomendación para hacerlo es sistematizar, identificar, medir y actuar.
¿Cómo llevarlo a cabo?
- Valorar nuestros activos de información: saber cuáles son los más importantes.
- Estudiar y analizar las vulnerabilidades de nuestros sistemas.
- Identificar las amenazas y cómo impactarían al negocio.
- Tomar medidas a partir del análisis. Aceptar el riesgo o realizar cambios para mitigarlo.
- Revisar estos pasos periódicamente.
Por:
Daniel Alano, Product Line Analyst de Networking & Security.
Daniel se especializa en gestión de seguridad de la información (UNIT-ISO/IEC 27000 y 27001) y es ethical hacker certificado (EC-Council).