Qué es un análisis de vulnerabilidades y por qué hacerlo?

Publicado hace 12 meses por en ESET

Sin duda la seguridad de la información se ha convertido en una parte vital, por esto es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar dichas vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.

Son muchas las metodologías utilizadas para la gestión de riesgos, incluso normas para garantizar la manera correcta de tener una información segura, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades.

grafico_22

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.  Algunos ejemplos pueden ser ataques informáticos externos, incluso internos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.

Por otra parte, una vulnerabilidad representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles en los sistemas, no tener sistemas de backup y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos o incluso internos.

diseño-redes

Con ESET Inteligence Labs colocamos a su disposición diferentes tipos de servicios de seguridad.

  • Vulnerability Assessment: Análisis y pruebas relacionadas con la identificación de puertos abiertos, servicios disponibles y detección de vulnerabilidades en los sistemas de información.
  • Penetration Testing: Análisis de seguridad más completo que posee, en sus etapas iniciales, las mismas características que un Vulnerability Assessment, pero con la diferencia de que no sólo se trata de identificar e informar las debilidades sino que además se verifica e ilustra, por medio de la explotación(ethical hacking), los niveles de riesgo a los que están expuestas las compañías.
  • Web Penetration Testing: Análisis de similares características al Penetration Test, pero sobre aplicaciones y sistemas web.
  • GAP Analysis: Es un servicio de análisis diferencial que permite, a través de entrevistas con los consultores, verificar en qué grado de cumplimiento se encuentra la organización respecto a la legislación, normativas y/o estándares internacionales, así como también evaluar el riesgo de fuga de información.

En caso de consultas adicionales, contactanos para solicitar gratis una propuesta hecha especialmente para tu organización.


 

Dejar un comentario