Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Amenaza Vulnerabilidades Riesgo
Amenaza Vulnerabilidades Riesgo
La evolución constante de las nuevas tecnologías suele generar un gran interés para
quienes las utilizan como eje de su trabajo, lo cual los lleva a tratar de conocer y
aprovechar cada avance y cada nuevo dispositivo que aparece. Por otro lado, el trabajo
diario muchas veces los obliga a focalizarse en la solución de cuestiones específicas,
provocando a menudo la degradación de una visión más amplia de todas las aristas que
acompañan las soluciones que es factible implementar.
Por consiguiente, y para una efectiva gestión del riesgo, necesariamente deberán conocerse
las situaciones que pueden afectar a la organización, es decir de qué debe protegerse, cuál
es su información y sus recursos críticos, y si las medidas que ha implementado para
preservarlos evitarán o minimizarán cualquier impacto negativo. Al desarrollar su actividad
en un escenario cambiante, el profesional se verá obligado a evaluar de modo permanente
la situación en la que se encuentra y a asegurarse de que las medidas de protección
establecidas siguen siendo efectivas.
En esta línea, el presente artículo se propone rescatar ciertos conceptos básicos, comprender
sus implicaciones y plantear las relaciones que existen entre ellos, para lograr una gestión
segura de la información.
.Vulnerabilidades
De esta definición se desprende que las vulnerabilidades afectan a los bienes de una
organización, pero también pueden darse sobre un procedimiento destinado a protegerlo.
En cada uno de estos casos, corresponderá analizar las posibilidades de que las
vulnerabilidades sean aprovechadas, sus características y su ciclo de vida.
Un caso particular lo constituye el software utilizado masivamente, como por ejemplo las
aplicaciones Web, los sistemas operativos y la ofimática, para el cual el tema de las
vulnerabilidades constituye además una pérdida de confianza en productos y proveedores.
Su origen y las causas por las cuales aparecen, su divulgación, los vectores de ataque, sus
posibles impactos y su alcance, entre otros factores, vuelven al tema complejo y en
continuo avance, resultando motivo tanto de grandes especulaciones como de alarma real
en algunos casos.
En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseño, por una
codificación deficiente o insegura, por errores en la implementación o por falta de
mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementación y
mantenimiento de una pieza de software es susceptible de poseer una debilidad que es
factible usar para alterar su funcionamiento. Un ejemplo significativo es el protocolo
utilizado para el envío de correos electrónicos, que no fue diseñado pensando en la
seguridad[1] y que provoca que hoy suframos la consecuencia de este problema de diseño,
por citar un caso, cuando se usa para distribuir phishing, suplantando identidades.
Un tipo especial de vulnerabilidad es la conocida como día cero o “zero-day”. Recibe esta
calificación desde el momento en que es descubierta y hay evidencias de que existe un
código que puede aprovecharla, denominado como “exploit”, hasta que se hace
públicamente conocida y el fabricante del producto afectado no la corrige. Mientras no
aparezcan soluciones o medidas de mitigación, este tipo de vulnerabilidades abre una
ventana de tiempo que puede utilizarse para infectar una gran cantidad de sistemas, con una
alta probabilidad de éxito. Esto genera la existencia de un mercado de compra-venta de
vulnerabilidades, en el cual se les asigna un valor monetario.
Cabe mencionar finalmente que otro aspecto, no menor, si bien no tratado específicamente
en este artículo por su complejidad, es el de las vulnerabilidades sobre las personas, de las
cuales se benefician los malhechores a través de la ingeniería social.
.Amenazas
Dicho lo anterior se aprecia que es un término que generaliza y enuncia los problemas a los
que se encuentra expuesta una organización, a través de los denominados agentes de
amenazas, que son las entidades que aprovechan una vulnerabilidad.
Los distintos escenarios que plantean las amenazas deben contemplarse dentro de planes de
continuidad del negocio y siempre deben identificarse y estimarse debidamente al gestionar
los riesgos.
.Riesgo
Los riesgos en las organizaciones pueden ser de todo tipo: ambientales, de mercado,
financieros, estratégicos, operacionales, de cumplimiento, etcétera. Los riesgos vinculados
al uso de tecnologías de información son transversales a todos.
Frente a estos, deben aplicarse controles, entendidos como cualquier medida, que permita
prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una amenaza
específica. Se trata de medidas dirigidas a producir un efecto sobre la probabilidad de
ocurrencia de una amenaza determinada o sobre su impacto.
Los controles pueden ser de naturaleza técnica, de gestión o legal, de acuerdo con la
definición dada en la Norma ISO/IEC antes citada.
En el rubro de controles técnicos, el mercado de software y de equipamiento es basto, y los
ajustes para su puesta en marcha deben además efectuarse acorde a estándares de seguridad,
que muchas veces brindan los fabricantes o las buenas prácticas de organizaciones
especializadas como OWASP (The Open Web Applications Security Project), por citar un
ejemplo.
Para los aspectos funcionales, la industria brinda hoy normas que ayudan a identificar y
mitigar muchos de los riesgos, así como certificaciones para profesionales interesados en
aspectos particulares. Sin embargo, el punto a resaltar es que más allá de los múltiples
enfoques es importante no perder una visión global.
El cuadro precedente muestra en forma gráfica la interacción entre los distintos elementos
analizados. Vemos que las amenazas se vinculan con causas potenciales con posible
impacto negativo sobre la información, en la medida en que los bienes a los que sea factible
que afecten posean debilidades o se registren fallas en los controles que los protegen. Este
último concepto se resume en el término vulnerabilidad, que al ser explotada por la
amenaza expone a la organización al riesgo. Dicho riesgo surgirá del análisis de su
probabilidad de ocurrencia y del impacto sobre el bien a proteger.
Conclusión
Finalmente, cabe agregar que la seguridad no es un concepto del que se pueda hablar en
términos absolutos. En materia informática se presenta una situación particular, dado que se
requiere aplicar un conocimiento técnico y funcional muy específico y nuevo, en
comparación con otras disciplinas. La diversidad de plataformas, la masividad de las
aplicaciones, el crecimiento de las tecnologías móviles y la interacción social de los
individuos en Internet se establecen hoy como características que afectan desde el punto de
vista de la seguridad a las organizaciones modernas a lo largo de toda su actividad. Sin
embargo, la buena noticia es que en la actualidad existen herramientas como la gestión de
riesgos, que permiten entender aquellas situaciones que pueden causar un daño real sobre la
información, redes y procesos, y que brindan una adecuada protección. No es tan simple
como incorporar un equipo o una pieza de software, pero el esfuerzo vale la pena.