Infosec 101: Vulnerabilidades

La definición clásica que se encuentra en todos los libros relacionados con Seguridad de la Información es la siguiente:

Una vulnerabilidad es una debilidad en un sistema de información, o en los procedimientos de seguridad del sistema, controles internos, o en su implementación que podría ser explotado por una fuente de amenaza.

La mayoría de las vulnerabilidades de los sistemas de información pueden ser asociados a controles de seguridad que, o bien no han sido aplicadas (ya sea intencionalmente o no), o habiendo sido aplicadas, conservan alguna debilidad.

Sin embargo, también es importante tener en cuenta las vulnerabilidades emergentes que pueden surgir de forma natural de acuerdo con la evolución de las empresas, por ejemplo: cambios en la misión de la organización y/o en las funciones de negocios, cambios en el entorno de operación de la empresa, la proliferación de nuevas tecnologías, y la aparición de nuevas amenazas. En el contexto de dichos cambios, los controles de seguridad existentes se vuelven inadecuados y necesitan ser reevaluados para determinar su efectividad.

La tendencia de los controles de seguridad de degradar su efectividad con el paso del tiempo refuerza la necesidad de mantener las evaluaciones de riesgos durante todo el ciclo de vida de desarrollo del sistema, así como la importancia de los programas de monitoreo continuo para obtener el conocimiento necesario sobre la situación actual de la postura de seguridad de la organización.

Las vulnerabilidades pueden ser identificadas fuera de los límites de los sistemas de información. Si vemos los sistemas desde una perspectiva más amplia, las vulnerabilidades pueden encontrarse en:

  1. Las estructuras organizacionales de la empresa, por ejemplo, en una débil estrategia de administración de riesgos, fallas en la comunicación entre los distintos departamentos o  fallas en la priorización de la misión y/o funciones de negocios.
  2. Relaciones con agentes externos a la empresa, por ejemplo: proveedores de energía, cadena de suministros, tecnologías de información o proveedores de telecomunicaciones.
  3. Procesos de negocio, por ejemplo: procesos mal definidos o procesos que no toman en cuenta los factores de riesgo.
  4. Arquitectura empresarial: producto de diseños que no contemplan la necesidad de resiliencia de la organización.

En general los riesgos se materializan como resultado de una serie de eventos de amenazas que toman ventaja de una o más vulnerabilidades.

Anuncios

Un comentario Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s