Vulnerabilidad de los sistemas
Páginas: 28 (6982 palabras)
Publicado: 9 de febrero de 2012
Vulnerabilidad es definida como un fallo en el proyecto, implementación o configuracion de un software o sistema operativo que, cuando es descubierta por un atacante, resulta en la violación de la seguridad de un computador o un sistema computacional.
Existen casos donde un software o sistema operativo instalado en un ordenador puede contener una vulnerabilidad que permite su exploracionremota, o sea, a través de la red. Por lo tanto, un atacante conectado a Internet, al explorar tal vulnerabilidad, puede obtener acceso autorizado al ordenador vulnerable.
NIVELES DE RIESGO
La técnica que se utiliza para determinar esta situación es la de análisis de vulnerabilidades. Se trata de aplicaciones que chequean los sistemas de información buscando que vulnerabilidades están activas encada uno de ellos y generando una serie de informes que permitan al personal de las áreas de sistemas corregirlas para reducir la probabilidad de que los sistemas sean atacados con éxito.
La tendencia que existe en la mayoría de las organizaciones es la de confiar en las herramientas automáticas de parcheo de los sistemas operativos y realizar un análisis de vulnerabilidades de vez en cuando paraverificar que los equipos no tienen vulnerabilidades importantes abiertas.
Hay que tener en cuenta varias cosas:
1. Las vulnerabilidades no solo afectan a los sistemas operativos, también al resto de aplicaciones comerciales involucradas en los procesos de negocio.
2. Muchas vulnerabilidades aparecen como consecuencia de una combinación de factores que normalmente no se resuelven solo conparchear el sistema operativo.
3. En ocasiones las herramientas automáticas de parcheo no logran parchear la totalidad del parque de maquinas.
4. Si se hace un análisis de vulnerabilidades, por ejemplo cada 6 meses, tenemos 6×30x180=21.600 nuevas vulnerabilidades que podrían estar presentes en los sistemas. Demasiadas.
5. Un análisis de vulnerabilidades suele descubrir un número devulnerabilidades muy alto y sólo aporta criterios de priorización en función de la gravedad de la vulnerabilidad, sin tener en cuenta la criticidad para el negocio de los sistemas afectados.
El enfoque más razonable a la hora de abordar un análisis de las vulnerabilidades de los sistemas de información, es el de conocer el nivel de riesgo que presentan y eso es la combinación de tres puntos:
1.Valor o criticidad del activo para el negocio.
2. Probabilidad de que un ataque tenga éxito.
3. Impacto de ese ataque.
Para lograr esta información se necesita disponer de herramientas que permitan clasificar los activos en función de su importancia para los procesos de negocio de la empresa y que tengan la versatilidad suficiente para poder hacer chequeos frecuentes (semanal o inclusodiario) sin impactar en el funcionamiento del sistema de información.
Una vez que disponga de toda esta información, la herramienta debe dar una información del nivel de riesgo del sistema de información.
En términos generales, se puede afirmar que conocer las vulnerabilidades de los sistemas sólo consigue que nos pongamos nerviosos, mientras que conocer el riesgo nos permite priorizar y tomardecisiones.
4) Análisis de los Riesgos y la Materialidad.
El Riesgo en auditoria representa la posibilidad de que el auditor exprese una opinión errada en su informe debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa.
En auditoria se conocen tres tipos de riesgo: Inherente, de Control y de Detección.
El riesgoinherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.
El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no prevén o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles...
Existen casos donde un software o sistema operativo instalado en un ordenador puede contener una vulnerabilidad que permite su exploracionremota, o sea, a través de la red. Por lo tanto, un atacante conectado a Internet, al explorar tal vulnerabilidad, puede obtener acceso autorizado al ordenador vulnerable.
NIVELES DE RIESGO
La técnica que se utiliza para determinar esta situación es la de análisis de vulnerabilidades. Se trata de aplicaciones que chequean los sistemas de información buscando que vulnerabilidades están activas encada uno de ellos y generando una serie de informes que permitan al personal de las áreas de sistemas corregirlas para reducir la probabilidad de que los sistemas sean atacados con éxito.
La tendencia que existe en la mayoría de las organizaciones es la de confiar en las herramientas automáticas de parcheo de los sistemas operativos y realizar un análisis de vulnerabilidades de vez en cuando paraverificar que los equipos no tienen vulnerabilidades importantes abiertas.
Hay que tener en cuenta varias cosas:
1. Las vulnerabilidades no solo afectan a los sistemas operativos, también al resto de aplicaciones comerciales involucradas en los procesos de negocio.
2. Muchas vulnerabilidades aparecen como consecuencia de una combinación de factores que normalmente no se resuelven solo conparchear el sistema operativo.
3. En ocasiones las herramientas automáticas de parcheo no logran parchear la totalidad del parque de maquinas.
4. Si se hace un análisis de vulnerabilidades, por ejemplo cada 6 meses, tenemos 6×30x180=21.600 nuevas vulnerabilidades que podrían estar presentes en los sistemas. Demasiadas.
5. Un análisis de vulnerabilidades suele descubrir un número devulnerabilidades muy alto y sólo aporta criterios de priorización en función de la gravedad de la vulnerabilidad, sin tener en cuenta la criticidad para el negocio de los sistemas afectados.
El enfoque más razonable a la hora de abordar un análisis de las vulnerabilidades de los sistemas de información, es el de conocer el nivel de riesgo que presentan y eso es la combinación de tres puntos:
1.Valor o criticidad del activo para el negocio.
2. Probabilidad de que un ataque tenga éxito.
3. Impacto de ese ataque.
Para lograr esta información se necesita disponer de herramientas que permitan clasificar los activos en función de su importancia para los procesos de negocio de la empresa y que tengan la versatilidad suficiente para poder hacer chequeos frecuentes (semanal o inclusodiario) sin impactar en el funcionamiento del sistema de información.
Una vez que disponga de toda esta información, la herramienta debe dar una información del nivel de riesgo del sistema de información.
En términos generales, se puede afirmar que conocer las vulnerabilidades de los sistemas sólo consigue que nos pongamos nerviosos, mientras que conocer el riesgo nos permite priorizar y tomardecisiones.
4) Análisis de los Riesgos y la Materialidad.
El Riesgo en auditoria representa la posibilidad de que el auditor exprese una opinión errada en su informe debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa.
En auditoria se conocen tres tipos de riesgo: Inherente, de Control y de Detección.
El riesgoinherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.
El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no prevén o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles...
Leer documento completo
Regístrate para leer el documento completo.