La búsqueda de amenazas suele ser una de las partes más difíciles a la hora de comenzar con la implementación de ciberseguridad en una organización. Pero realizarlo podría ser mas sencillo si contamos con toda la información necesaria importante.
Antes de realizar una evaluación de vulnerabilidades o "Vulnerability Assessment", podemos identificar la criticidad de nuestros activos y las posibles amenazas que surjan, lo que ayudará a definir de mejor forma el alcance de la evaluación, que normalmente se realiza por un tercero ajeno a la organización.
No debemos confundir los términos, ya que una amenaza es lo que conlleva a un incidente y una vulnerabilidad es la posibilidad de materializarse, entonces, si definimos primeramente una serie de amenazas para nuestros activos, será más fácil saber dónde debemos centrarnos a la hora de atacar las vulnerabilidades.
Entonces, ¿la evaluación de vulnerabilidades no se hace a toda la organización?, esto es algo que siempre se preguntan cuando solicitan un servicio de este tipo.
La realidad es que debería de aplicarse a todo, pero, debe enfocarse principalmente en los activos críticos y necesarios para que una organización funcione y no tenga afectación, definiéndose como todos los elementos que se utilizan para que la principal actividad del negocio se pueda llevar a cabo, por ejemplo, si una empresa se dedica a vender productos a través de su página web, debería de analizarse lo siguiente.
➥ Vulnerabilidades tipo XSS, Inyección HTML, Inyección SQL, etc.
➥ Ataques de fuerza bruta.
➥ Usuarios que tienen acceso a la Base de Datos.
➥ Usuarios que tienen acceso a la administración.
➥ Desarrolladores.
➥ Sistema Operativo que alberga los servicios.
Lo anterior solo es un ejemplo, se pueden listar muchas más pruebas o vulnerabilidades, pero lo que quiero lograr es que comprendas un poco de como se realiza esto, tal vez no entiendas los tecnicismos de los que acabo de hablarte, pero lo que si debes entender y tener bien claro, es la lista de activos que son críticos para el negocio.
Esa es la verdadera importancia de esto, y ¿cómo lo sabrás?, ¡adivinaste!, con un inventario de activos actualizado y al día, ahora podrás categorizar cada uno de ellos conforme a la importancia del negocio, ¿ya vez cómo se vuelve más fácil?.
Te ahorrarás mucho tiempo, esfuerzo y dinero si tienes todo esto claro, no necesitas ser un especialista para definir estos puntos.
Con el listado de amenazas, podrás saber cuáles son las que le pueden afectar a la organización y cuales puedes aceptar el riesgo y dejarlas con prioridad baja, enfocándote en lo crítico.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.