1.2. Evaluación de vulnerabilidad

Con tiempo, recursos y motivación, un intruso puede violar casi cualquier sistema. Todos los procedimientos y tecnologías de seguridad disponibles en la actualidad no puede garantizar que los sistemas estén completamente a salvo de intrusos. Los enrutadores ayudan a proteger las puertas de enlace a Internet. Los cortafuegos ayudan a proteger el perímetro de la red. Las redes privadas virtuales pasan los datos en un flujo cifrado. Los sistemas de detección de intrusos advierten sobre actividades maliciosas. Sin embargo, el éxito de cada una de estas tecnologías depende de una serie de variables, entre ellas:\n
  • La habilidad de la persona responsable de la configuración, monitorización y mantenimiento de tecnologías.
  • La habilidad de corregir y actualizar servicios y kernel en forma rápida y efectiva.
  • La habilidad de la persona responsable para mantener constante vigilancia en la red.
Dado el estado dinámico de los sistemas de información y tecnologías, la protección de los recursos corporativos puede ser bastante compleja. Debido a esta complejidad, suele ser difícil encontrar recursos humanos expertos para todos los sistemas. Aunque es posible tener personal con conocimientos en muchas áreas de seguridad informática en un nivel alto, es difícil retener al personal experto en más de una pocas áreas temáticas. Esto se debe principalmente a que cada materia de seguridad informática requiere constante atención y enfoque. La seguridad informática no se detiene.

1.2.1. Pensar como el enemigo

Suponga que usted quiere administrar una red empresarial. Dichas redes comúnmente comprenden sistemas operativos, aplicaciones, servidores, monitores de redes, cortafuegos, sistemas de detección de intrusos y mucho más. Ahora imagine tratar de estar al día con cada uno de ellos. Dada la complejidad del software actual, y de los entornos de redes, las vulnerabilidades y los errores son una certeza. El mantenerse al corriente con parches y actualizaciones para toda una red puede ser una tarea de enormes proporciones en una empresa grande con sistemas heterogéneos.
Combine los requerimientos de experiencia con la tarea de mantenerse al día, es inevitable que incidentes adversos se presenten, tales como, violación de sistemas, corrupción de datos e interrupción del servicio.
Para aumentar las tecnologías de seguridad y ayudar a proteger sistemas, redes y datos, debemos pensar como el cracker y y evaluar la seguridad de los sistemas revisando las debilidades. Las evaluaciones preventivas de vulnerabilidades contra sus propios recursos de sistemas y redes pueden revelar problemas que no se han abordado antes de que el cracker aproveche la vulnerabilidad.
La evaluación de una vulnerabilidad es una auditoría interna de la red y sistema de seguridad; el resultado del cual indica la confidencialidad, integridad y disponibilidad, de su red (como se explica en la Sección 1.1.1.3, “Estándares de seguridad”). Por lo general, la evaluación de la vulnerabilidad empieza con la fase de reconocimiento, durante la cual se reúnen los datos sobre sistemas de destino y recursos. Esta fase conduce a la fase de preparación del sistema, en la cual el destino es esencialmente revisado sobre todas las vulnerabilidades conocidas. La fase de preparación culmina en la fase del informe, en la que los hallazgos se clasifican en las categorías de alto, medio y bajo riesgo y se tratan los métodos para mejorar la seguridad (o mitigar el riesgo de vulnerabilidad).
Si fuera a realizar la evaluación de una vulnerabilidad en su hogar, probablemente revisaría la puerta de su casa para ver si está cerrada y con seguro. También revisaría las ventanas, para asegurarse de que están completamente cerradas. Este mismo concepto se aplica a los sistemas, redes y datos electrónicos. Los usuarios malintencionados son los ladrones y vándalos de sus datos. Céntrese en sus herramientas, la mentalidad y motivaciones y podrá reaccionar rápidamente a sus acciones.