Los activos de información son recursos que posee la entidad, asociados a la gestión de la información, que tienen valor o relevancia para la organización y, por lo tanto, deben ser protegidos.
La propia información, las personas, el software y sus configuraciones, los diferentes equipos informáticos, servidores, servicios en cloud, dispositivos de almacenamiento de información, documentación… todos ellos son activos y tienen algo en común; debilidades, que pueden ser explotadas y producir algún tipo de daño. Estas debilidades son las vulnerabilidades.
¿Qué es una vulnerabilidad?
En seguridad de la información, una vulnerabilidad es una debilidad de un activo de información o de una medida de protección. Ésta puede ser explotada por una o más amenazas, ocasionando daño a la organización o al sistema de gestión. La amenaza puede, o no, manifestarse, pero la vulnerabilidad es inherente al propio activo.
Imaginemos un activo de información bastante común como puede ser un equipo de sobremesa en el departamento de recursos humanos de una empresa cualquiera. Es lógico pensar que este equipo contiene información que debe tener algún grado de protección; contratos de trabajo, nóminas, infracciones laborales, currículum con anotaciones del departamento y todo lo referente al historial laboral del personal. Algunas de las amenazas a las que estarían expuestos el equipo y la información serían accesos no autorizados, malware o revelación de la información.
Amenazas
Estas amenazas se materializan explotando las debilidades del sistema. Por ejemplo, para que haya un acceso no autorizado, es posible que nuestra política de contraseñas sea inadecuada o inexistente, o que tengamos una configuración de derechos de acceso a la red mal gestionada, o hemos cambiado el disco duro de este equipo sin eliminar correctamente los datos del disco antiguo. Este ejemplo evidencia que una única amenaza puede explotar varias vulnerabilidades, por eso es necesario identificarlas todas en nuestro análisis.
Algunas vulnerabilidades vienen determinadas por el propio activo, sin embargo, otras provienen de la organización y su contexto particular. Sobre todo en estas últimas podemos actuar de forma que algunas de estas vulnerabilidades puedan ser mitigadas casi en su totalidad.
En el ejemplo anterior podríamos aplicar un sistema de gestión de contraseñas que de forma automática la cambie cada tres meses, comunicando la contraseña únicamente a su usuario y al responsable del departamento. También se puede contratar una auditoría de sistemas informáticos que revise las configuraciones de la estructura y permisos de acceso a los archivos de la red, y por último, enviar todos los soportes con información que se desechen, a una empresa especializada en su destrucción confidencial. Esto no elimina en su totalidad el riesgo, pero lo reduce mucho.
La importancia de analizar correctamente las vulnerabilidades radica en que nos permite tomar las decisiones adecuadas a la hora de aplicar medidas, con el equilibrio apropiado entre la efectividad y el coste, tiempo y personal, dedicados al desempeño de nuestro sistema de gestión de seguridad de la información.
¿Necesitas una auditoría o un análisis de riesgos, amenazas y vulnerabilidades?
En Grupo CFI disponemos de profesionales expertos en protección de datos y DPOs certificados, que pueden ayudarte. Solicita presupuesto aquí.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.