Si su red empresarial está conectada al
internet, usted está haciendo negocios en internet, usted maneja aplicaciones
web que guardan información confidencial o es un proveedor de servicios
financieros, salud; el análisis de vulnerabilidades informáticas debe ser su
primera preocupación, aunque mantener los sistemas informáticas de hoy en día
es como un juego de azar. Según el punto de vista de los especialistas de
análisis de riesgos informáticos, las empresas están dependientes sobre la
tecnología para conducir las operaciones del negocio, pero las mismas empresas
deben tomar las medidas para evaluar y asegurar los agujeros de seguridad o
vulnerabilidades informáticas.
Una
vulnerabilidad informática es considerada como un riesgo informático y es una
característica de un activo de información. Las vulnerabilidades informáticas
pueden ser detectadas con pruebas de vulnerabilidad o test de intrusión. Cuando
se materializa un riesgo informático y hay un agujero de seguridad que pueda
ser explotado, hay una posibilidad de ocurrencia de cualquier tipo de daño
relacionado con la confidencialidad, integridad, disponibilidad y autenticidad
de los datos empresariales.
Conforme
a los informes de empresa de análisis de vulnerabilidades informáticas, los
técnicos de los servicios de escaneo de vulnerabilidades descubren cientos de
nuevas vulnerabilidades al año y ponen en circulación nuevos parches cada mes.
Por estas razones, es necesario hacer análisis de riesgos informáticos en la
empresa que le permitirá saber cuáles son los principales agujeros de
seguridad. El análisis de riesgos informáticos debe garantizar a la empresa la
tranquilidad de tener identificados todos sus riesgos con pruebas de
vulnerabilidad y test de intrusión. Las pruebas de vulnerabilidad y test de
intrusión son parte integral de los servicios de análisis de riesgos
informáticos. Las pruebas de vulnerabilidad y test de intrusión ofrecen mucha
información valiosa sobre el nivel de exposición a los riesgos. Estos riesgos y
agujeros de seguridad le van a permitir actuar ante una eventual
materialización de los riesgos informáticos.
En la
medida que la empresa tenga clara esta identificación de riesgos informáticos podrá
implementar las medidas preventivas y correctivas con la ayuda de una empresa
de análisis de vulnerabilidades informáticas que garanticen soluciones
preventivas y correctivas. Los soluciones preventivas y correctivas deben
mantener el equilibrio entre el costo que tiene resolución de la
vulnerabilidad, el valor del activo de información para la empresa y el nivel
de criticidad de la vulnerabilidad. Además escaneo de vulnerabilidades externas
e internas junto con las medidas correctivas da confianza a los clientes sobre
sus datos y da una ventaja competitiva a su empresa.
Servicios
de una empresa de análisis de vulnerabilidades informáticas aseguran el
cumplimiento de las normas nacionales o internacionales específicas de cada
industria. Actualmente en algunas industrias, es necesario contar con un
programa adecuado de análisis de riesgos informáticos junto con servicios de
pruebas de vulnerabilidad y test de intrusión. Algunas industrias como salud,
financiera que manejan equipos informáticos críticos y de alto riesgo, un
programa periódico de pruebas de vulnerabilidad y test de intrusión ayuda a
fortalecer de manera anticipada su entorno frente a posibles amenazas. <br>
Servicios de escaneo de vulnerabilidades informáticas puede ser clasificados
como servicios de escaneo de vulnerabilidades externas o servicios de escaneo
de vulnerabilidades internas.
SERVICIO
DE ESCANEO DE VULNERABILIDADES EXTERNAS
El
servicio de escaneo de vulnerabilidades externas evalúa infraestructura de
tecnología de una empresa desde la perspectiva de un hacker a través de
internet. El servicio sólo requiere las direcciones de la red, aplicaciones
empresariales; se necesita nada para ser instalado. Los expertos de empresas de
análisis de vulnerabilidades informáticas deben enfocar sobre nuevos tipos de
ataques externos, vulnerabilidades de día cero y su metodología de hacer
pruebas de vulnerabilidades conocidas.
SERVICIO DE ESCANEO DE VULNERABILIDADES
INTERNAS
El
servicio de escaneo de vulnerabilidades internas evalúa el perfil de seguridad
de la empresa desde la perspectiva de alguien interno, empleado o de alguien
que tiene acceso a los sistemas y las redes empresarial. Normalmente el
servicio está personalizado por requisitos de la empresa ya que cada empresa
tiene diferentes tipos de redes y aplicaciones internas. Los expertos de
empresas de análisis de vulnerabilidades informáticas deben simular a un hacker
externo a través de Internet o alguien interno con privilegios normales. Además
deben enfocar sobre nuevos tipos de ataques internos, vulnerabilidades de día
cero y su metodología de hacer pruebas de vulnerabilidades conocidas.
¿CÓMO ESCOGER SERVICIOS DE ANÁLISIS DE
VULNERABILIDADES INFORMÁTICAS?
Si
usted es una gran empresa o una empresa pequeña, deben encontrar servicios fáciles
y eficaces. Los servicios de evaluación de vulnerabilidades y test de intrusión
de deben asegurar que todo la infraestructura empresarial (redes, aplicaciones
y móviles) cumpla con los objetivos de seguridad informática. Deben contar con
profesionales especializados en seguridad informática junto con las mejores
técnicas y estrategias de análisis de riesgos informáticos. Según expertos deInstituto Internacional de Seguridad Cibernética,
no deben utilizar metodología tradicional usada por muchas empresas de análisis
de vulnerabilidades informáticas. Deben aplicar un enfoque metódico e
innovador, por medio de scripts propias, revisión de códigos, pruebas de
vulnerabilidad manual, uso de herramientas propietarias, comerciales y de
código abierto. Los entregables de test de intrusión son informes y
recomendaciones correctivas. Las vulnerabilidades y las acciones correctivas
correspondientes son clasificadas por riesgos basados en prioridad. Es
necesario hacer análisis de vulnerabilidades y riesgos acuerdo con estándares
internacionales. El servicio de análisis de riesgos informáticos puede ser de
una vez o puede ser periódico, para resguardar de los activos IT (redes,
aplicaciones y móviles) frente a pérdida, y de los accesos no autorizados y/o
inapropiados. Además es importante enseñar como hacer las pruebas de
vulnerabilidad y test de intrusión a su equipo técnico en tiempo real a través
el curso de análisis de riesgos informáticos y el curso de análisis de
vulnerabilidades informáticas. Las capacitaciones le ayudarían maximizar su
capacidad de responder y proteger su red contra los ataques.
METODOLOGÍA DE ANÁLISIS DE
VULNERABILIDADES INFORMÁTICAS (PESA)
La
metodología de análisis de vulnerabilidades informáticas, está enfocada sobre
protección total de los recursos (redes, aplicaciones, dispositivos móviles)
que estén dispuestos para un posible ataque por parte de personas internas o
externas a la entidad. Asimismo la metodología consiste de los procesos
iterativos, debido a que la tecnología nunca deja de evolucionar y cada vez más
se generan nuevos riesgos para las empresas. La metodología de análisis de
vulnerabilidades informáticas (PESA) ha sido estructurada en diferentes
módulos.
MODULO: PLANEAR
Una
buena parte del éxito del manejo de la metodología se comienza a desarrollar en
el modulo de planeación. En ese modulo establecen los requerimientos, los
planes, las prioridades para implantar la metodología.
MODULO: EVALUAR
En este
modulo realizan análisis de los datos, redes, aplicaciones, bases de datos y
dispositivos móviles con servicios de escaneo de vulnerabilidades. Siguientes
son algunos de los pasos en el modulo de evaluación:
§ Hacer
análisis de los posibles riesgos al nivel de negocios, identificar las amenazas
y las vulnerabilidades tanto físicas como lógicas.
§ Revisar
configuración de los sistemas operativos, las aplicaciones empresariales,
archivos de registros y los dispositivos que hacen parte de la arquitectura de
red.
§ Autentificación
de los usuarios y controlar sus accesos. Monitorear las actividades de los
usuarios.
§ Análisis
de los servicios que presta la empresa o un tercero a la empresa.
§ Revisión
de los planes, políticas de seguridad y planes de contingencia establecidos.
§ Utilizar
scripts propias, pruebas de vulnerabilidad manual, herramientas propietarias,
comerciales y de código abierto para hacer evaluación de la vulnerabilidad de
la red, equipos de la red y dispositivos móviles.
§ Utilizar
scripts propias, revisión de códigos, pruebas de vulnerabilidad manual,
herramientas propietarias, comerciales y de código abierto para hacer
evaluación de la vulnerabilidad de la aplicación y de base de datos. Hacer
pruebas de caja negra y caja blanca para encontrar los agujeros de seguridad.
MODULO: SEGURO
En este
modulo entregan el plan de seguridad, plan de contingencia e implementan los
controles de seguridad con una efectiva relación costo-beneficio. Es necesario
trabajar con equipo del cliente para asegurar la arquitectura de la red,
equipos conectados a la red, dispositivos móviles y aplicaciones empresariales.
Deben capacitar empleados del cliente con el curso de análisis de riesgos
informáticos y el curso de análisis de vulnerabilidades informáticas.
MODULO: AUDITAR
El
motivo de este modulo es verificar la implementación y el buen desempeño de los
sistemas de seguridad. En la auditoria se determina si los sistemas de
seguridad salvaguardan los activos y mantiene la confidencialidad, integridad,
disponibilidad de los datos.
0 comments:
Post a Comment