Ensayo sobre análisis de riesgos y vulnerabilidades

Por

Carolina Guzmán Rodríguez

Presentado

Fernando Quintero

Grupo

38110

SENA

Centro de servicios y Gestión empresarial

Administración de redes de cómputo

Medellín – Colombia

Año 2011

La naturaleza de la seguridad informática

En lo que se comprende a la seguridad informática, dentro de este campo se habla del
análisis de riesgo que se implementa a todo lo que quiero proteger, así una gestión de
riesgo es un método para determinar, analizar, valorar y clasificar el riesgo como tal y
aplicar a este un mecanismo o método que permitan controlarlo, el análisis de riesgos
contiene cuatro fases que son:

En primer lugar se comienza por el análisis que determina todos aquellos componentes que
requieren de protección, también da a conocer cuáles son aquellas vulnerabilidades que lo
ponen en riesgo, disposición de otros y sus amenazas que son las que atacan las
vulnerabilidades para así degradar este componente; la clasificación que determina tanto
los riesgos encontrados como los riesgos restantes que son aceptable para la
implementación del método de mejora; la reducción se encarga de ejecutar o implementar
las medidas de protección que se necesitan para aquellos componentes vulnerables, también
sensibiliza y capacita en gran medida a los usuarios enfoque a las medidas que se
implementan; y por ultimo esta lo que se denomina control que se ejecuta después de la
reducción del riesgo con el objetivo de analizar el funcionamiento, la efectividad y el
cumplimiento de todas las medidas que se pensaron en un comienzo para ejecutar las
mejoras, también en ajustar las medidas deficientes que se implementan y sancionar el
incumplimiento de estas.

Todo el proceso de análisis de riesgo está basado en lo que se denomina o llamamos las
políticas de seguridad, que serían normas o reglas institucionales que se establecen de
acuerdo a mi necesidad dentro de todo lo que es empresa, con el objetivo de que por medio
del marco operativo del proceso, potenciar las capacidades empresariales o institucionales
para que tengan claro que es importante implementar un método de seguridad que ayude a
reducir las vulnerabilidades que de un cierto modo son vulneradas por las amenazas, por
ende se tiende a reducen el riesgo, otra es motivar y fomentar el funcionamiento
organizativo y eficaz dentro de la compañía garantizando comportamiento homogéneo que
garantiza la corrección de conductas o practicas por los mismos empleados que los hacen
vulnerables.

Hoy en día existen muchas amenazas que ponen en riesgo nuestros activos tanto humanos
como no humanos, la amenaza es la posibilidad de ocurrencia de cualquier tipo de evento,
acción o proceso que puede producir un daño (material o inmaterial) sobre cualquier
elemento de un sistema, existen amenazas de origen externo como interno que se encargan
de buscar las vulnerabilidades para así atacarlas como sea, por lo general se distinguen tres
grupos de amenazas en los cuales dentro de la criminalidad se encuentran todas aquellas
acciones causadas por la intervención humana que viola la ley y están penalizadas, los
sucesos de origen físico que son todos aquellos sucesos como incendio, inundación,
suspensión de energía, sobrecarga entre otras, negligencia y decisiones institucionales que
son aquellas decisiones, acciones por parte de las personas que tienen influencia sobre el
sistema.
La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado
de sufrir algún daño. Las vulnerabilidades en los activos de información desde siempre se
han dado, por ello es el afán de crear herramientas y parches para evitar los riesgos en esta
clase de activos, esto ayuda también a aquellos administradores encargados del que se
aplique la disponibilidad, confidencialidad e integridad en los datos e información de los
sistemas.

Cuando en una empresa se tiene conciencia de que hay que proteger todo aquello que me
genera valor (activos) se implementa un análisis de riesgos y luego después de estos
resultados lo que se hace es ejecutar medidas de protección para la reducción de los riesgos
existentes, aquí es donde aparece el denominado riesgo restante que son aquellos peligros
y amenazas que quedaron después de haber implementado las medidas de protección, este
riesgo lo podemos verlo de dos formas, una es que ponerlo en modo de alerta e
implementar más medidas para así reducirlo hasta donde sea posible y llevar un control
para que a la hora que sea atacado no cause mucho daño, otra forma es aceptar
conscientemente de los posibles impactos y sus consecuencias y no hacer nada sobre ello.

También es importante que dentro del informe final que comprende a un análisis de
riesgos se incluyan el análisis de las vulnerabilidades ya que este nos muestra en donde
están las posibles fallas que inciden a que presenten los riesgos, además a través de un
análisis de vulnerabilidades podemos examinar detalladamente los robustez y la seguridad
de cada uno de los sistemas y dispositivos para analizar cuáles son las mejores
contramedidas que se pueden implementar con el objetivo de minimizar en un 1% el
impacto de un ataque.

El análisis de vulnerabilidades se debe hacer siempre y cuando ocurran cambios en el

diseño de la red o los sistemas ya sea porque queremos extender la red o actualizar nuestros
sistemas y dispositivos.

Para saber que vulnerabilidades puedo tener se pueden implementar distintos métodos y
herramientas según sea lo que queramos vulnerar, si tenemos conocimiento en el tema de
seguridad, lo que podemos hacer ante esta pregunta ¿será que mis activos son
vulnerables? es ponernos del otro lado, eso quiere decir en simular ser un atacante, desde
esta posición aplicar todos nuestro conocimientos para vulnerar la mayor cantidad de
activos realizando varios intentos de ataque a la red, buscando las debilidades, mediante un
escaneo de puertos, analizador de protocolos, password crackers entre otras, con este
resultado nos daremos cuenta y tendremos una idea general del estado en el que se
encuentran nuestros sistemas frente a los ataques.

Sabemos que las vulnerabilidades provienen de diferentes ámbitos y las podemos clasificar
como vulnerabilidades de implementación, vulnerabilidades de configuración,
vulnerabilidades de dispositivos, vulnerabilidades de protocolos, vulnerabilidades de
aplicación; para tener un conocimiento más amplio del tema de cómo explotar las
vulnerabilidades existen sitios en internet en donde puedo encontrar diversa información
desde publicaciones y bibliografías especificas en seguridad, hasta repositorios de
vulnerabilidades con sus exploits:

 CERT – Computer Emergency Response Team

 SANS – SysAdmin, Audit, Network, Security
 NSA – National Security Agency
 NIST – National Institute of Standards and Technology

Dentro del análisis de vulnerabilidades debemos ser discretos y realizar un acuerdo de

confidencialidad entre todas las partes involucradas en el análisis, ya que a lo largo del
desarrollo que se implementa se puede obtener información crítica o que compromete a la
empresa u organización analizada.