Si su red empresarial está conectada al internet, usted está haciendo negocios en internet, usted maneja aplicaciones web que guardan información confidencial o es un proveedor de servicios financieros, salud; el análisis de vulnerabilidades informáticas debe ser su primera preocupación, aunque mantener los sistemas informáticas de hoy en día es como un juego de azar. Según el punto de vista de los especialistas de análisis de riesgos informáticos, las empresas están dependientes sobre la tecnología para conducir las operaciones del negocio, pero las mismas empresas deben tomar las medidas para evaluar y asegurar los agujeros de seguridad o vulnerabilidades informáticas.
Una vulnerabilidad informática es considerada como un riesgo informático y es una característica de un activo de información. Las vulnerabilidades informáticas pueden ser detectadas con pruebas de vulnerabilidad o test de intrusión. Cuando se materializa un riesgo informático y hay un agujero de seguridad que pueda ser explotado, hay una posibilidad de ocurrencia de cualquier tipo de daño relacionado con la confidencialidad, integridad, disponibilidad y autenticidad de los datos empresariales.
Conforme a los informes de empresa de análisis de vulnerabilidades informáticas, los técnicos de los servicios de escaneo de vulnerabilidades descubren cientos de nuevas vulnerabilidades al año y ponen en circulación nuevos parches cada mes. Por estas razones, es necesario hacer análisis de riesgos informáticos en la empresa que le permitirá saber cuáles son los principales agujeros de seguridad. El análisis de riesgos informáticos debe garantizar a la empresa la tranquilidad de tener identificados todos sus riesgos con pruebas de vulnerabilidad y test de intrusión. Las pruebas de vulnerabilidad y test de intrusión son parte integral de los servicios de análisis de riesgos informáticos. Las pruebas de vulnerabilidad y test de intrusión ofrecen mucha información valiosa sobre el nivel de exposición a los riesgos. Estos riesgos y agujeros de seguridad le van a permitir actuar ante una eventual materialización de los riesgos informáticos.
En la medida que la empresa tenga clara esta identificación de riesgos informáticos podrá implementar las medidas preventivas y correctivas con la ayuda de una empresa de análisis de vulnerabilidades informáticas que garanticen soluciones preventivas y correctivas. Los soluciones preventivas y correctivas deben mantener el equilibrio entre el costo que tiene resolución de la vulnerabilidad, el valor del activo de información para la empresa y el nivel de criticidad de la vulnerabilidad. Además escaneo de vulnerabilidades externas e internas junto con las medidas correctivas da confianza a los clientes sobre sus datos y da una ventaja competitiva a su empresa.
Servicios de una empresa de análisis de vulnerabilidades informáticas aseguran el cumplimiento de las normas nacionales o internacionales específicas de cada industria. Actualmente en algunas industrias, es necesario contar con un programa adecuado de análisis de riesgos informáticos junto con servicios de pruebas de vulnerabilidad y test de intrusión. Algunas industrias como salud, financiera que manejan equipos informáticos críticos y de alto riesgo, un programa periódico de pruebas de vulnerabilidad y test de intrusión ayuda a fortalecer de manera anticipada su entorno frente a posibles amenazas.
Servicios de escaneo de vulnerabilidades informáticas puede ser clasificados como servicios de escaneo de vulnerabilidades externas o servicios de escaneo de vulnerabilidades internas.
SERVICIO DE ESCANEO DE VULNERABILIDADES EXTERNAS
El servicio de escaneo de vulnerabilidades externas evalúa infraestructura de tecnología de una empresa desde la perspectiva de un hacker a través de internet. El servicio sólo requiere las direcciones de la red, aplicaciones empresariales; se necesita nada para ser instalado. Los expertos de empresas de análisis de vulnerabilidades informáticas deben enfocar sobre nuevos tipos de ataques externos, vulnerabilidades de día cero y su metodología de hacer pruebas de vulnerabilidades conocidas.
SERVICIO DE ESCANEO DE VULNERABILIDADES INTERNAS
El servicio de escaneo de vulnerabilidades internas evalúa el perfil de seguridad de la empresa desde la perspectiva de alguien interno, empleado o de alguien que tiene acceso a los sistemas y las redes empresarial. Normalmente el servicio está personalizado por requisitos de la empresa ya que cada empresa tiene diferentes tipos de redes y aplicaciones internas. Los expertos de empresas de análisis de vulnerabilidades informáticas deben simular a un hacker externo a través de Internet o alguien interno con privilegios normales. Además deben enfocar sobre nuevos tipos de ataques internos, vulnerabilidades de día cero y su metodología de hacer pruebas de vulnerabilidades conocidas.
¿CÓMO ESCOGER SERVICIOS DE ANÁLISIS DE VULNERABILIDADES INFORMÁTICAS?
Si usted es una gran empresa o una empresa pequeña, deben encontrar servicios fáciles y eficaces. Los servicios de evaluación de vulnerabilidades y test de intrusión de deben asegurar que todo la infraestructura empresarial (redes, aplicaciones y móviles) cumpla con los objetivos de seguridad informática. Deben contar con profesionales especializados en seguridad informática junto con las mejores técnicas y estrategias de análisis de riesgos informáticos. Según expertos de GAREY Agencia Web, no deben utilizar metodología tradicional usada por muchas empresas de análisis de vulnerabilidades informáticas.
Deben aplicar un enfoque metódico e innovador, por medio de scripts propias, revisión de códigos, pruebas de vulnerabilidad manual, uso de herramientas propietarias, comerciales y de código abierto. Los entregables de test de intrusión son informes y recomendaciones correctivas. Las vulnerabilidades y las acciones correctivas correspondientes son clasificadas por riesgos basados en prioridad. Es necesario hacer análisis de vulnerabilidades y riesgos acuerdo con estándares internacionales. El servicio de análisis de riesgos informáticos puede ser de una vez o puede ser periódico, para resguardar de los activos IT (redes, aplicaciones y móviles) frente a pérdida, y de los accesos no autorizados y/o inapropiados. Además es importante enseñar como hacer las pruebas de vulnerabilidad y test de intrusión a su equipo técnico en tiempo real a través el curso de análisis de riesgos informáticos y el curso de análisis de vulnerabilidades informáticas. Las capacitaciones le ayudarían maximizar su capacidad de responder y proteger su red contra los ataques.
METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES INFORMÁTICAS (PESA)
La metodología de análisis de vulnerabilidades informáticas, está enfocada sobre protección total de los recursos (redes, aplicaciones, dispositivos móviles) que estén dispuestos para un posible ataque por parte de personas internas o externas a la entidad. Asimismo la metodología consiste de los procesos iterativos, debido a que la tecnología nunca deja de evolucionar y cada vez más se generan nuevos riesgos para las empresas. La metodología de análisis de vulnerabilidades informáticas ha sido estructurada en diferentes módulos.
MODULO: PLANEAR
Una buena parte del éxito del manejo de la metodología se comienza a desarrollar en el modulo de planeación. En ese modulo establecen los requerimientos, los planes, las prioridades para implantar la metodología.
MODULO: EVALUAR
En este modulo realizan análisis de los datos, redes, aplicaciones, bases de datos y dispositivos móviles con servicios de escaneo de vulnerabilidades. Siguientes son algunos de los pasos en el modulo de evaluación:
- Hacer análisis de los posibles riesgos al nivel de negocios, identificar las amenazas y las vulnerabilidades tanto físicas como lógicas.
- Revisar configuración de los sistemas operativos, las aplicaciones empresariales, archivos de registros y los dispositivos que hacen parte de la arquitectura de red.
- Autentificación de los usuarios y controlar sus accesos. Monitorear las actividades de los usuarios.
- Análisis de los servicios que presta la empresa o un tercero a la empresa.
- Revisión de los planes, políticas de seguridad y planes de contingencia establecidos.
- Utilizar scripts propias, pruebas de vulnerabilidad manual, herramientas propietarias, comerciales y de código abierto para hacer evaluación de la vulnerabilidad de la red, equipos de la red y dispositivos móviles.
- Utilizar scripts propias, revisión de códigos, pruebas de vulnerabilidad manual, herramientas propietarias, comerciales y de código abierto para hacer evaluación de la vulnerabilidad de la aplicación y de base de datos. Hacer pruebas de caja negra y caja blanca para encontrar los agujeros de seguridad.
MODULO: SEGURO
En este modulo entregan el plan de seguridad, plan de contingencia e implementan los controles de seguridad con una efectiva relación costo-beneficio. Es necesario trabajar con equipo del cliente para asegurar la arquitectura de la red, equipos conectados a la red, dispositivos móviles y aplicaciones empresariales. Deben capacitar empleados del cliente con el curso de análisis de riesgos informáticos y el curso de análisis de vulnerabilidades informáticas.
MODULO: AUDITAR
El motivo de este modulo es verificar la implementación y el buen desempeño de los sistemas de seguridad. En la auditoria se determina si los sistemas de seguridad salvaguardan los activos y mantiene la confidencialidad, integridad, disponibilidad de los datos.