Amenazas y vulnerabilidades, ¿cuáles son las diferencias?

En el mundo actual, los datos y la protección de esos datos son consideraciones críticas para las empresas. Los clientes quieren asegurarse de que su información esté segura en tu empresa, y si no puedes mantenerla segura, perderás tu negocio.

Muchos clientes con información confidencial realmente exigen que tengas una infraestructura rígida de seguridad de datos antes de hacer negocios contigo. Con esa consideración como telón de fondo, ¿qué tan seguro estás cuando se trata de la seguridad de TI de tu organización?

Para tener un buen control de los problemas de seguridad de datos que pueden afectar tu negocio, es imprescindible comprender la relación entre tres componentes centrales: amenaza, vulnerabilidad y riesgo. Aunque estos términos técnicos se usan indistintamente, son términos distintos con diferentes significados e implicaciones. Vamos a verlo.

¿Cuál es la diferencia entre vulnerabilidad, amenaza y riesgo de seguridad de TI?

Para ver las diferencias entre estos tres conceptos explicaremos la definición de cada uno de ellos.

Amenaza

Una amenaza se refiere a un incidente nuevo o recién descubierto que tiene el potencial de dañar un sistema o la empresa en general.

Hay tres tipos principales de amenazas:

  • Naturales, como inundaciones, huracanes o tornados.
  • No intencionales, como un empleado que accede por error a la información incorrecta
  • Intencionales, como spyware, malware, compañías de adware o las acciones de un empleado descontento

Los gusanos y los virus se clasifican como amenazas porque podrían causar daño a tu organización a través de la exposición a un ataque automatizado, a diferencia de uno perpetrado por humanos.

El 12 de mayo de 2017, el ataque WannaCry Ransomware comenzó a bombardear computadoras y redes en todo el mundo y desde entonces ha sido descrito como el mayor ataque de este tipo. Los delincuentes cibernéticos constantemente presentan nuevas formas creativas de comprometer sus datos.

Estas amenazas pueden ser incontrolables y, a menudo, difíciles o imposibles de identificar de antemano. Aún así, ciertas medidas ayudan a evaluar las amenazas regularmente, para estar mejor preparado cuando ocurra una situación.

Cómo reducir el impacto de las amenazas cibernéticas en tu organización

Siempre es una buena idea mantenerse actualizado e informado sobre las últimas amenazas cibernéticas, además de las herramientas y los recursos que pueden mitigarlas.

Algunos de los ataques cibernéticos más comunes incluyen:

  • Denegación de servicio (DoS) y denegación de servicio distribuida (DDoS)
  • Hombre en el medio (MitM)
  • Phishing
  • Ataque de contraseña
  • Ataque de inyección SQL

Las principales causas de violaciones de datos incluyen: software sin parches, ingeniería social y gestión de contraseñas inadecuada. Exploraremos cómo estas causas aumentan el riesgo de un ciberataque más adelante en este artículo. Pero por ahora, veamos las vulnerabilidades y cómo interactúan con las amenazas.

Vulnerabilidad

Una vulnerabilidad se refiere a una debilidad conocida de un activo (recurso) que puede ser explotada por uno o más atacantes. En otras palabras, es un problema conocido que permite que un ataque tenga éxito.

Por ejemplo, cuando un miembro del equipo renuncia y se olvida de deshabilitar su acceso a cuentas externas, cambiar los inicios de sesión o eliminar sus nombres de las tarjetas de crédito de la compañía, esto deja a la empresa abierta a amenazas tanto intencionales como no intencionales.

Sin embargo, la mayoría de las vulnerabilidades son explotadas por atacantes automáticos.

Las pruebas de vulnerabilidades son críticas para garantizar la seguridad continua de tus sistemas. Al identificar los puntos débiles, puedes desarrollar una estrategia para una respuesta rápida.

Aquí hay algunas preguntas que debes hacerte al determinar tus vulnerabilidades de seguridad:

  • ¿Tus datos están respaldados y almacenados en una ubicación segura fuera del sitio?
  • ¿Se almacenan tus datos en la nube? En caso afirmativo, ¿cómo te proteges exactamente de las vulnerabilidades de la nube?
  • ¿Qué tipo de seguridad de red tienes para determinar quién puede acceder, modificar o eliminar información desde tu organización?
  • ¿Qué tipo de protección antivirus está en uso? ¿Son actuales las licencias? ¿Funciona tan a menudo como sea necesario?
  • ¿Tienes un plan de recuperación de datos en caso de explotación de una vulnerabilidad?

Comprender tus vulnerabilidades es el primer paso para administrar el riesgo.

Cómo reducir las vulnerabilidades de la infraestructura de TI

  • Mantén las licencias y los parches de seguridad actualizados: los proveedores de tecnología proporcionan actualizaciones periódicas para reparar parches, así que asegúrate de mantener tu software y firmware actualizados con la última versión. Asegúrate de que las licencias de tu aplicación estén vigentes.
  • Mantén y aplica una política estricta de ciberseguridad: mantén los datos protegidos, como con contraseñas cifradas encerradas en una ubicación externa. Aplicar una política que sea consistente con los estándares internacionales del sistema de gestión de seguridad de la información, como ISO 27001. Asegúrate de que tus datos estén respaldados y que tengas un plan de contingencia en caso de una violación de datos o una interrupción del sistema.
  • Reduce las vulnerabilidades causadas por errores humanos: restringe el acceso a las redes, incluido el acceso de los empleados o la capacidad de realizar cambios en la información.

Riesgo

El riesgo se define como el potencial de pérdida o daño cuando una amenaza explota una vulnerabilidad. Los ejemplos de riesgo incluyen pérdidas financieras, pérdida de privacidad, daños a la reputación, implicaciones legales e incluso la pérdida de vidas.

El riesgo también se puede definir de la siguiente manera:

Riesgo = Amenaza X Vulnerabilidad

Reduce tu potencial de riesgo creando e implementando un plan de gestión de riesgos.

Estos son los aspectos clave a tener en cuenta al desarrollar su estrategia de gestión de riesgos:

  • Evaluar el riesgo y determinar las necesidades. Cuando se trata de diseñar e implementar un marco de evaluación de riesgos, es fundamental priorizar las infracciones más importantes que deben abordarse. Aunque la frecuencia puede diferir en cada organización, este nivel de evaluación debe realizarse de forma periódica y recurrente.
  • Incluye una perspectiva total de los interesados. Las partes interesadas incluyen los dueños de negocios, así como empleados, clientes e incluso vendedores. Todos estos jugadores tienen el potencial de impactar negativamente a la organización (amenazas potenciales) pero al mismo tiempo pueden ser activos para ayudar a mitigar el riesgo.
  • Designa un grupo central de empleados responsables de la gestión de riesgos y determina el nivel de financiación apropiado para esta actividad.
  • Implementa políticas apropiadas y controles relacionados y asegúrate de que los usuarios finales apropiados estén informados de todos los cambios.
  • Monitorizar y evaluar la efectividad de las políticas y el control. Las fuentes de riesgo cambian constantemente, lo que significa que tu equipo debe estar preparado para hacer los ajustes necesarios al marco. Esto también puede implicar la incorporación de nuevas herramientas y técnicas de monitorización.

Operaciones de red

Para un programa de seguridad de la información y la planificación de recuperación de desastres relacionados con las operaciones de su red de TI, las actividades de evaluación de amenazas y vulnerabilidades son bastante distintas.

Evaluación de amenazas

Para las amenazas, el proceso es una parte lineal del proceso de gestión de riesgos. El administrador de riesgos identificará y enumerará todos los activos y procesos de información para proteger, y luego identificará y clasificará las amenazas a esos activos, a fin de desarrollar controles para protegerlos.

El Modelado de amenazas para TI cubre tanto amenazas técnicas (como malware) como no técnicas (como incendio o inundación). Las amenazas se descubren mediante el estudio de informes de inteligencia de amenazas, el análisis de los sistemas y operaciones, la lluvia de ideas con los gerentes departamentales y luego unir todo. El proceso se centra en el valor del activo, es decir, lo que la gerencia dice que es importante y debe ser el foco de protección.

Evaluación de vulnerabilidades

Las vulnerabilidades son mucho más complicadas de descubrir, ya que surgen de una amplia gama de aspectos técnicos del sistema.

Se debe realizar algún tipo de evaluación de vulnerabilidad para clasificar con precisión las amenazas que has identificado, porque la condición de tu sistema puede influir mucho en la probabilidad y el impacto de cada amenaza identificada.

Por ejemplo, si descubres que cierto grupo de delincuentes ha estado empleando un cierto método para entrar en los sistemas financieros y robar datos bancarios (una amenaza), la probabilidad y el impacto para tu organización dependerían de si su sistema era susceptible al método utilizado por estos delincuentes, dada la versión y configuración del software que utilizas (vulnerabilidad).

A este respecto, la gestión de vulnerabilidades se describe a menudo como el subcomponente técnico del modelado de amenazas de seguridad de la información.

Estos son los tres métodos generales de gestión de vulnerabilidades, en orden creciente de exhaustividad y coste.

  • La administración de la configuración involucra a tu gerente o departamento de TI evaluando y configurando manualmente el sistema para minimizar las vulnerabilidades, según las mejores prácticas. Estos incluyen:
    • implementación del software de seguridad de punto final,
    • segmentación de la red,
    • gestión de cambios,
    • implementación del principio de privilegio mínimo,
    • uso de un proceso de actualización de software automatizado para el software comercial para corregir los fallos de seguridad descubiertos rápidamente,
    • aplicación de políticas de contraseña de usuario y
    • uso de herramientas de escaneo de configuración gratuitas.
  • El software de escaneo de vulnerabilidades examina los servidores de aplicaciones, el almacenamiento, las estaciones de trabajo y los dispositivos de red para identificar la presencia de vulnerabilidades, como:
    • ajustes de configuración que no coinciden con la intención,
    • mala gestión de la cuenta de usuario que permite un fácil acceso por parte de usuarios no autorizados,
    • autenticación o cifrado fácilmente rompible por métodos en uso y
    • presencia de software explotable conocido. Los sistemas más sofisticados pueden crear un mapa de red y encontrar vulnerabilidades no identificadas mediante el análisis de cualquier dispositivo individual.
  • La prueba de penetración es un proceso realizado por profesionales altamente capacitados para buscar e identificar no solo la existencia de vulnerabilidades, sino también para determinar qué tan lejos en el sistema pueden explotar múltiples capas de vulnerabilidades, a qué datos se puede acceder y con qué facilidad. No puedes simplemente comprar un software de prueba de penetración, necesitas un probador calificado, que extraerá de una gran biblioteca de herramientas y técnicas de software para realizar las tareas necesarias para evaluar tu sistema correctamente.

Ejemplo

Para resumir los conceptos de amenaza, vulnerabilidad y riesgo, usemos el ejemplo del mundo real de un huracán.

La amenaza de un huracán está fuera del control de uno. Sin embargo, saber que podría ocurrir un huracán puede ayudar a los dueños de negocios a evaluar los puntos débiles y desarrollar un plan de acción para minimizar el impacto. En este escenario, una vulnerabilidad sería no tener un plan de recuperación de datos en caso de que tus activos físicos se dañen como resultado del huracán. El riesgo para su negocio sería la pérdida de información o una interrupción en el negocio como resultado de no abordar sus vulnerabilidades.

Comprender con precisión las definiciones de estos componentes de seguridad te ayudará a ser más eficaz en el diseño de un marco para identificar posibles amenazas, descubrir y abordar sus vulnerabilidades para mitigar el riesgo.