Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis de vulnerabilidades
En el mundo de las redes de computadoras, la seguridad es uno de los temas más importantes,
porque para las personas lo más valioso es la información. Por tal motivo muchas personas
(hackers) intentan robar dicha información que puede ser con muchos propósitos como: por
maldad, por dinero, por rabia, etc.
Por ende las entidades tienen que estar prevenidas para no ser atacados tan fácilmente,
porque siempre por mínimo que sea van a existir vulnerabilidades; ¿Pero cómo nos damos
cuenta que vulnerabilidades tenemos? , ¿Cómo podemos prevenir dichos ataques? , ¿Cómo
puedo saber cual es más vulnerable que otro?
Por tal motivo lo que es necesario es un análisis de vulnerabilidades. Cada día aumenta más y
más las vulnerabilidades, por lo que es un desafío diario para las empresas.
A partir de ésta publicación tengo como objetivo dar una clara explicación acerca de la gran
importancia que tiene el análisis de vulnerabilidades junto con los análisis de riesgos y conocer
que metodologías existen, también aprender a prevenir dichos ataques que causaran un gran
impacto para la empresa.
Las vulnerabilidades pueden ser causadas por muchos motivos tales como:
- ambiental
- económico
- socio-educativa
- institucional política
En mi opinión lo primordial en una empresa es poder realizar un análisis de riesgos, el cual nos
pueda decir cuáles son los componentes que más están expuestos a dichos ataques o que son
de primordial importancia para la empresa, para poder obtener información más completa el
análisis de riesgos debe tener un análisis de vulnerabilidades, muchas personas que apenas
entran en el tema de la seguridad de la información puede confundir dichos términos, la
diferencia entre estas dos terminologías es que el análisis de riesgos busca los componentes de
un sistema que necesiten protección y el análisis de vulnerabilidades busca la detección y
solución de dichas vulnerabilidades para saber el estado de la red y cuál sería el impacto de un
ataque.
Los sistemas que pueden tener vulnerabilidades son: servidores, aplicaciones, enrutadores, la
energía, los humanos etc. Los activos más vulnerables en una empresa son los humanos,
porque la información que tiene dicha persona no se puede proteger tan fácilmente, pueden
ser víctimas de hackers a través de ingeniería social.
Las empresas para poder obtener información sobre sus vulnerabilidades, contratan a
personas para atacar a dichas empresas, estas personas son llamadas ethical hackers (son
hackers que utilizan su conocimiento no para el daño de otros, sino para ayudar con su
conocimiento a mejorar la seguridad), en muchos casos estos hackers obtienen la mayoría de
información por medio de la ingeniería social.
-Descubrimiento
-Evaluación
-Informe
-Remediación
-Verificación
Cada punto de los mencionados es fundamental para que tenga éxito el análisis.
También para hacer dichos análisis primero debemos clasificar dichos activos, dependiendo de
la información almacenada y de la importancia para la empresa, es una parte fundamental
para que tenga éxito los análisis.
Las vulnerabilidades se pueden escanear de forma automatizada por medio de software como:
-OPENVAS
-NESSUS
-NIKTOZ
-GFI LANGUARD
-CANVAS
-COREIMPACT
-INSEC PRO
-METASPLOIT
-NEXPOSE
Dichos softwares no hacen un escaneo 100% seguro de las vulnerabilidades, pero es una gran
ayuda ya que nos facilita el trabajo para la recopilación de dicha información de forma
automatizada a cada uno de los dispositivos activos que se encuentran conectados a la red.
En el mundo existen muchas entidades encargadas de certificar a personas para poder realizar
dichas auditorias cada entidad con diferentes metodologías, una de esas metodologías pueden
ser MAGERIT, OCTAVE, CRAMM, etc. Cada entidad tiene su manera de realizar su análisis.
BIBLIOGRAFIA
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)
http://scanda.com.mx/scanda/pdf/ARA_AnalisisVulnerabilidades.pdf