Evaluación de vulnerabilidad: qué es y cómo realizarla

Una evaluación de vulnerabilidad analiza y estima los riesgos de las debilidades en seguridad de los sistemas de información e informática de una organización.

Se conocen más de 180.000 vulnerabilidades de seguridad y cada año se descubren nuevas. Con tantas brechas potenciales en la infraestructura y tantas posibilidades de ataque en los sistemas, no es sorprendente que la ciberdelincuencia haya aumentado considerablemente en los últimos años. Sin embargo, cuando se realizan de forma regular y correcta, las evaluaciones de vulnerabilidad pueden actuar como medida preventiva contra estas crecientes amenazas a la seguridad.

Hay que considerar que, incluso con defensas de seguridad de primera calidad, los sistemas de información y seguridad de una organización pueden ser atacados, pirateados o secuestrados por los ciberdelincuentes. Nuestra guía te muestra por qué es importante invertir en evaluaciones de vulnerabilidad, cómo funcionan y sus diferentes funciones.

Qué es una evaluación de vulnerabilidad

Una evaluación de la vulnerabilidad es el proceso de revisión y estimación de todas las posibles debilidades de seguridad en la infraestructura de un sistema de información. Este tipo de evaluación se utiliza para identificar, priorizar y mitigar vulnerabilidades y para minimizar potenciales amenazas a la seguridad. Estas evaluaciones también descubren y analizan las vulnerabilidades dentro del entorno físico de la organización. Los objetivos de una evaluación de la vulnerabilidad pueden desglosarse en tres ideas principales:

  • Identificar todas las vulnerabilidades
  • Documentar las vulnerabilidades para su futura identificación y solución
  • Orientar a los desarrolladores que crean soluciones para esas amenazas

Las evaluaciones de vulnerabilidad deben realizarse regularmente, especialmente cuando se instalan nuevos equipos, se añaden puertos o se introducen servicios. Además, las evaluaciones de vulnerabilidad pueden prevenir ataques al sistema en dispositivos -nuevos y antiguos- debido a amenazas como:

  • Ataques de inyección, incluyendo ataques XSS y ataques SQL
  • Configuraciones débiles por defecto, como contraseñas de administración y nombres de usuario fáciles de adivinar
  • Ataques de malware y programas maliciosos
  • Herramientas y dispositivos de autenticación defectuosos
  • Datos sin cifrar

En el caso de las organizaciones de riesgo -como los bancos, los sistemas gubernamentales y aquellos que tienen acceso a información personal, como centros sanitarios-, las evaluaciones de vulnerabilidad pueden ayudar a identificar y reducir los puntos débiles antes de que sean explotados por los hackers.

Ver artículo completo 

Defienda a su empresa de ataques ransomware