3. AMENAZAS, VULNERABILIDADES Y RIESGOS.

Saber identificar conceptos como los de amenaza, vulnerabilidad y riesgo y cómo puede afectar un incidente a tu empresa, te permitirá saber si tu empresa está en peligro.


Vulnerabilidad y amenaza son términos que se confunden a menudo, por lo que es necesario definirlos correctamente desde el principio, al igual que ocurre con el riego:

Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información permitiendo que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma. Necesitaremos por tanto encontrarlas y corregirlas lo antes posible. Estos «agujeros» pueden tener distintos orígenes, por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.

Por otro lado, una amenaza es toda acción que se aprovecha de una vulnerabilidad para atacar a un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado).

Desde el punto de vista de una organización, las amenazas pueden ser tanto internas como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. El problema es que, en el mundo real, si existe una vulnerabilidad, siempre existirá alguien que intentará sacar provecho de su existencia.

Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, debemos saber que el riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un ciberdelincuente, un ataque de denegación de servicio, un virus… El riesgo depende entonces de la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo.

Asociados al riesgo, hablamos de análisis de riesgos cuando nos referimos al uso sistemático de la información para identificar las fuentes y calcular el riesgo, y de gestión del riesgo, cuando nos referimos a las actividades coordinadas para dirigir y controlar una organización con relación al riesgo.

Este análisis/gestión nos llevará a obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra empresa. Estas fases son las siguientes:

En función de la relevancia de los riegos podremos optar por:

  • Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no implementar una actividad o proceso que pudiera implicar un riesgo.
  • Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de la implementación y monitorización de controles.
  • Compartir o transferir el riesgo con terceros a través de seguros, contratos etc.
  • Aceptar la existencia del riesgo y monitorizarlo.

El tratamiento del riesgo supone unos claros beneficios para la «salud» de la ciberseguridad de nuestra empresa. De esta manera mantendremos protegida nuestra información confidencial y la de nuestros clientes frente a la mayoría de amenazas y vulnerabilidades detectadas (o no), evitando robos y fugas de información.

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de información son:

  • Malware o código malicioso: comentados en el apartado anterior.
  • Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y falta de precaución de la víctima para obtener información sensible o confidencial. Los datos así obtenidos son utilizados posteriormente para realizar otro tipo de ataques, o para su venta.
  • APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar información sin ser identificados. Se suelen ayudar de técnicas de ingeniería social y son difíciles de detectar.
  • Botnets: conjunto de equipos infectados que ejecutan programas de manera automática y autónoma, que permite al creador del botnet controlar los equipos infectados y utilizarlos para ataques más sofisticados como ataques DDoS.
  • Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo la reputación de la empresa.
  • Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener en cuenta que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas a su proveedor de servicios. Se ha de asegurar de contratarlos con empresas cuya seguridad este demostrada, y firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede definida la seguridad que necesita la empresa.
  • Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones económicas y daños a la reputación e imagen de la empresa. Por eso, es importante conocer los riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los incidentes, implantando las medidas de seguridad adecuadas.