Vulnerabilidades y Amenazas

Shoulder surfing qué es

Vulnerabilidades y Amenazas

El término vulnerable significa: alguien que puede ser herido o dañado, física o moralmente. Por otro lado, el término amenaza se define de la siguiente manera: Dar a entender con acciones o palabras que se quiere hacer daño a alguien. Como vemos, la propia definición de cada palabra ya establece una clara diferenciación.

Una cosa es ser atacado o amenazado a causa de los propios defectos no corregidos y no vistos, y otra es ser amenazado o atacado independientemente de que seamos vulnerables o no. En la amenaza existe una internacionalidad de acción por parte de un tercero a través de determinadas acciones, mientras que en la vulnerabilidad no se puede aplicar este enfoque, ya que se considera como algo intrínseco e inherente, en mayor o menor medida, a la capacidad del sujeto para resolver las deficiencias o insuficiencias que pueda tener.

Diferencias entre vulnerabilidades y amenazas

Si trasladamos vulnerabilidades y amenazas al ámbito de los sistemas informáticos, podemos considerar que un sistema vulnerable es aquel que es susceptible de sufrir un cierto grado de daño, generalmente debido a sus propias causas.

Es cierto que en el ámbito informático, vulnerabilidad y amenaza suelen ir de la mano, pero el aumento de la ingeniería social por parte de los ciberdelincuentes hace que no siempre sea necesario ser vulnerable a nivel de sistema para estar expuesto a amenazas y, por tanto, sufrir ataques.

En el entorno corporativo, en muchos casos es el propio usuario el que crea la vulnerabilidad o facilita la amenaza sin saberlo. Los ciberdelincuentes lo saben y consideran que los usuarios son los eslabones más débiles de la cadena y, por tanto, los más susceptibles de sufrir amenazas y ataques.

Podemos decir que es el propio usuario el que es vulnerable al engaño de la ingeniería social. Pero incluir a todo el mundo en la categoría de vulnerables no es un enfoque correcto, porque no hay personas «invulnerables» al engaño, pero sí hay equipos grandes, bien formados y conscientes que pueden evitarlo.

También hay que tener en cuenta que una amenaza puede convertirse en una vulnerabilidad si no se utilizan las medidas de seguridad correctas mediante parches o actualizaciones de software y herramientas de protección adecuadas.

Por lo tanto, para evitar sufrir un ciberataque, es necesario ser plenamente consciente de ello e incluirlo en los planes de seguridad de la información de la empresa como medida de mitigación ante este tipo de eventos.

Aplicación

Hoy en día, cualquier sitio web está expuesto a las vulnerabilidades y amenazas de la red. Imaginemos la página web de un banco o de una tienda online. Ambos manejan información sensible. Si los sistemas de estos sitios no están actualizados y no aplican las medidas de protección adecuadas, podríamos decir que estos sitios son vulnerables a diversas amenazas y, por tanto, susceptibles de sufrir diversos ataques.

Por otro lado, si los sitios de los que hablamos implementan las medidas adecuadas y están actualizados, podrían no ser vulnerables a estas amenazas, pero no estarían exentos de ser atacados, por ejemplo, por un ciberatacante que utilice la ingeniería social contra un usuario de la organización para obtener información privilegiada.

Es muy importante entender que la amenaza está siempre presente.

Por ejemplo, si hablamos de un dispositivo de comunicación obsoleto en una red corporativa, podemos decir que estamos hablando de una amenaza para la organización, pero ¿puede ser también una vulnerabilidad? Si consideramos que el dispositivo puede causar daños a la organización, puede ser una amenaza. Si, por el contrario, consideramos que puede suponer un riesgo al facilitar los ataques, entonces sería una vulnerabilidad. En ambos casos, el denominador común es un riesgo o daño para la organización, uno directo y otro indirecto.

Prevención de las ciberamenazas

vulnerabilidades y amenazas

Aunque no existe un método infalible, podemos ser alertados de posibles vulnerabilidades y amenazas en la organización si concienciamos al equipo, educándoles en el uso seguro de las tecnologías de las que disponen mediante campañas de formación y prevención, haciéndoles saber que cualquier comportamiento extraño que detecten en su trabajo diario deben comunicarlo cuanto antes al responsable de seguridad informática de la organización a través de los canales internos de los que disponen.

Además, debe establecerse un canal de información, centrado en dar a conocer a los empleados las posibles amenazas a través de circulares informativas, correos electrónicos o cualquier otro medio.

  • Evaluación de riesgos e identificación de necesidades .El diseño y la aplicación de un marco de evaluación de riesgos requiere la priorización de las irregularidades más importantes que deben abordarse. Aunque la frecuencia puede variar de una organización a otra, este nivel de evaluación debe llevarse a cabo de forma regular y periódica.
  • Incluir una perspectiva global de las partes interesadas. Las partes interesadas incluyen a los propietarios de las empresas, así como a los empleados, los clientes e incluso los proveedores. Todas estas partes interesadas pueden tener un impacto negativo en la organización (amenazas potenciales), pero también pueden contribuir activamente a mitigar los riesgos.
  • Designar un núcleo de personal responsable de la gestión de riesgos y establecer un nivel adecuado de financiación para estas actividades.
  • Aplicar las políticas adecuadas y los controles asociados y garantizar que los usuarios finales pertinentes sean informados de cualquier cambio.
  • Supervisar y evaluar la eficacia de las políticas y los controles. Las fuentes de riesgo cambian constantemente y su equipo debe estar preparado para realizar los cambios necesarios en el sistema. Esto también puede significar la introducción de nuevas herramientas y técnicas de supervisión.
Ciberseguridad en móviles (celulares)
Seguridad informática activa
Recurso pedagógico
Cursos de Ciberseguridad
Ir arriba