ANALISIS DE VULNERABILIDADES DE RIESGO

LINA MARCELA VELASQUEZ GUTIERRES

38110

INSTRUCTOR

FERNANDO QUINTERO

ADMINISTRACION EN REDES DE CÓMPUTO

SENA

MEDELLIN

2011
 ENSAYO

ANALISIS DE VULNERABILIDADES DE RIESGOS

En este documento deseo explicar en qué consiste un análisis de

vulnerabilidades a los dispositivos de una empresa, debemos diseñar una
metodología de análisis con el fin de identificar los riesgos a que se están
sometidos los activos y de esta manera mejorar la seguridad de la información.

Una vulnerabilidad, se puede definir como un estado de un sistema que puede

permitir a un atacante:

 permitir acceder a información confidencial

 modificar información
 negar un servicio

Una de las preocupaciones más importantes de los profesionales en la

seguridad informática es la cantidad de vulnerabilidades que podemos
encontradas en los sistemas tecnológicos, las cuales son la primera opción de
herramientas de software cada vez son más poderosas en su capacidad de
ocasionar daños en los sistemas de información y la infraestructura que los
soporta.

Lo anterior nos ayuda a pensar que se necesita contar con una estrategia más
coherente para suplir esta inquietud u critica amenaza, se recopilan una serie
de actividades que nos ayudaran en la empresa realizar un análisis a un nivel
técnico de las vulnerabilidades de software, asociadas con los activos
tecnológicos.

El análisis de vulnerabilidades se complementa mediante proceso de análisis

de riesgo, esto es una actividad fundamental con el fin de orientarnos hacia un
sistema de gestión de seguridad de la información, con esto se busca,
identificar cada uno de los dispositivos de hardware o software resientes a la
infraestructura. Esta selección debe iniciarse con los servicios prestados en la
empresa.

Luego continuamos con los procesos asociados a estos servicios y de allí

determinar los activos o dispositivos que soportan estos procesos.

Dentro de los posibles elementos de la infraestructura que un momento dado

pudiera llegar a albergar vulnerabilidades a nivel de software son:

 servidores
 aplicaciones
 estaciones de trabajo
  bases de datos
 firewalls
 enrutadores
 entre otros

En este momento se realiza una clasificación de activos o dispositivos con la

base de confidencialidad de la información que guardan y la importancia del
activo para la continuación del proceso.

El uso de las herramientas para la detención de vulnerabilidades y soportadas

debidamente por su fabricante, las cuales pueden ser tanto de software y
poseer un hardware especifico. También se requiere que tenga una base de
datos actualizada y competición de vulnerabilidades aceptadas por la industria
y con criterios de clasificación.

Como el CVE.

Se busca por medio del uso de herramientas, poder identificar cualquier

elemento activo presente en la red siempre y cuando tenga una dirección IP,
con el fin de detectar las vulnerabilidades presentes evitar posibles incidentes
de seguridad. Una vez ya hayamos seleccionado la herramienta, se debe tomar
una decisión pero primero debemos saber con cuánto dinero contamos y mira
los beneficios que vamos a tener con la herramienta.

Con base en la información obtenida realizar una reunión técnica para informar
de sobre los resultados obtenidos de vulnerabilidades encontradas y
clasificación realizada por la herramienta.

Análisis de riesgos

Debido a los riesgos, se plantea una metodología de evaluación que distingue

amenazas y vulnerabilidades. Muchas veces las escases de datos no nos
permite hacer bien un levantamiento de información y así no podremos
encontrar las posibles amenazas, para permitir una eficiente gestión del riesgo
es generalmente más importante identificar bien las causas más profundas,
como que causa el riesgo y que influye sobre su dinámica. Para las amenazas
como para las vulnerabilidades debemos de tener datos exactos sobre los
ellos.

En el que se plantea una metodología de trabajo basada en el análisis. En

algunos casos el riesgo se puede sustentar en ciertos casos con una
afirmación cualitativa sobre la amenaza.
Los métodos para el cálculo del riesgo implica generalmente el uso de análisis
estáticos y probabilísticos para determinar la probabilidad de ocurrencia, la
vulnerabilidad de los activos en riesgo y el riesgo inducido.

Las probabilidades asociadas grados de intensidad posibles para una empresa

se definen por el grado de amenazas, el riesgo total se puede obtener luego,
de estimar el daño para cada activo.

Para el análisis de riesgo implica de conocimientos precisos de las amenazas

de los elementos en riesgos y de sus vulnerabilidades.

El principal objetivo de una amenaza inicia desde la presentación técnica de la

empresa y las amenazas de los activos en riesgo y de sus vulnerabilidades, las
probabilidades de éste se pueden estipular a partir de la experiencia adquirida
por los analistas, los cuales se determinan de forma relativa.

El objetivo de una amenaza es predecir o pronosticar el comportamiento de los

activos, principalmente los que presentan daños seguidamente, o tener una
idea de la probabilidad de ocurrencia de dichos activos en diferentes campos,
de este modo se logra una apreciación del riesgo que ocurriría en la empresa y
el activo donde está la amenaza.

La metodología de evaluar las amenazas desde una presentación técnica a la

empresa y la elaboración de un plan de trabajo preliminar nos permitirá
elaborar mejor el trabajo.

La probabilidad de ocurrencia en un evento puede ser estimado en base a la

experiencia del analista y las evidencias del activo, se realiza un análisis
relativo utilizando consideraciones que son ciertas que no depende de la
experiencia del analizador, este análisis consiste en expresar de forma
cuantitativa una observación subjetiva. Como por ejemplo mirar que
probabilidad de ocurrencia tiene el activo en 1 o 2 años se apague o
dependiendo del entorno que se esté manejando y así sacamos el porcentaje
de probabilidad de ocurrencia en dos años.

Es probable de que ocurra un daño cuando miramos que la probabilidad de

ocurrencia tiene un porcentaje muy alto.

Las clases de peligrosidad que se representan en una mapa de amenazas

debe permitir apreciar el riesgo que se correría en la empresa son de especial
interés, las amenazas que ponen en peligro los activos. El resultado de la
evaluación de amenazas está elaborado en funciones de la disponibilidad de
documentos e información básica de la empresa, existen programas para
obtener mapas grandes de los daños.

Por economía o por falta de conocimientos no siempre es posible realizar los

análisis ya que no se contará con los recursos necesarios para hacer una
buena monitoria, o si contratamos a una persona que no tiene los
conocimientos necesarios vamos a quedar con los mismos riesgos.

Las vulnerabilidades surgen como consecuencia de la interacción de una serie

de factores y características, a esto se le conoce como vulnerabilidades
globales, las vulnerabilidades físicas se refieren a la localización de zonas de
amenazas como al cableado entre otros. Las vulnerabilidades estructurales se
refieren a la falta de implementaciones, las vulnerabilidades naturales son
aquellas que son inherentes.

Evaluación de riesgo

Para realizar un análisis de riesgo, la evaluación de amenazas y

vulnerabilidades son el primer paso a llevar a cabo, las análisis de riesgo puede
elaborarse a partir de una apreciación relativa del nivel de amenazas.

Informe final

El informe final es el resultado del análisis de riesgos es un instrumento técnico

para la prevención de daños, está dirigido básicamente a un uso administrativo
en la empresa ya que pretende servir como la base para considerara los planes
de desarrollo integrando las amenazas como factor potencial.

De igual manera proporcionara información importante para ser utilizada en el

monitoreo de la empresa a nivel de susceptibilidad de amenazas.

El informe final debe ser presentado usando un lenguaje claro y sencillo que no
se tan técnico, concreto y fácil de comprender ya que esto no siempre se le
presentan a personas que saben del tema. Y sería difícil de comprender. El
documento puede contener recomendaciones análisis y propuestas.

Las recomendaciones deben orientarse a propuestas concretas, tras hacer una

descripción al activo, un análisis de cómo trabaja y las posibles consecuencias
potenciales.

Al momento de proponer soluciones de prevención debemos de tomar en

cuenta las posibles formas de ataque y la forma financiera de la empresa y el
nivel de riesgo existente que tiene, una propuesta costosa o muy complicada
no pobra ser aplicada si no cuenta con los recursos necesarios.