| 1 | \section{Vulnerabilidades de los sistemas de información} |
|---|
| 2 | |
|---|
| 3 | Se refiere a las fallas presentes en los esquemas de autenticación y autorización u otras partes de los sistemas informáticos, y que pueden afectar los niveles de confidencialidad, integridad, disponibilidad de los datos y aplicaciones. |
|---|
| 4 | |
|---|
| 5 | \subsection{Causas de las vulnerabilidades de los sistemas informáticos} |
|---|
| 6 | |
|---|
| 7 | Entre las causas que se consideran responsables de las vulnerabilidades que afectan a los sistemas informáticos se tienen: |
|---|
| 8 | |
|---|
| 9 | \begin{itemize} |
|---|
| 10 | \item |
|---|
| 11 | Debilidad en el diseño de los protocolos utilizados en las redes, como por ejemplo los protocolos de transmisión de datos en texto claro. |
|---|
| 12 | |
|---|
| 13 | \item |
|---|
| 14 | Fallos en los diseños y/o codificación de los programas. |
|---|
| 15 | \begin{comment} |
|---|
| 16 | %En algunos ocasiones los parches y actualizaciones de seguridad suministradas por |
|---|
| 17 | %los desarrolladores, no arreglan los problemas, o incluso pueden |
|---|
| 18 | %incluir nuevas vulnerabilidades. |
|---|
| 19 | \end{comment} |
|---|
| 20 | \item |
|---|
| 21 | Configuración inadecuada de los sistemas informáticos. |
|---|
| 22 | \begin{comment} |
|---|
| 23 | %ya sea por: |
|---|
| 24 | %la poco documentación que exista de sistema, por lo poco seguro del |
|---|
| 25 | %sistema o dispositivo. |
|---|
| 26 | \end{comment} |
|---|
| 27 | |
|---|
| 28 | \item |
|---|
| 29 | Políticas de seguridad deficientes o inexistentes. |
|---|
| 30 | \begin{comment} |
|---|
| 31 | %en muchas |
|---|
| 32 | %instituciones no han definido e implementado de forma eficaz unas |
|---|
| 33 | %adecuadas políticas de seguridad de acuerdo a sus necesidades. |
|---|
| 34 | \end{comment} |
|---|
| 35 | |
|---|
| 36 | \item |
|---|
| 37 | Desconocimiento y falta de sensibilidad de los usuarios y de los responsables de informática. |
|---|
| 38 | Todas las herramientas tecnológicas que la organización pueda implementar (sistemas de detección de intruso, cortafuego, entre otros) resultan inútiles ante el desinterés, falta de información, falta de preparación en materia de seguridad o la falta de sensibilización de los directivos y responsables de la organización, que deben estar conscientes de la necesidad de destinar recursos a esta función. |
|---|
| 39 | |
|---|
| 40 | \item |
|---|
| 41 | Poca y pobre documentación de software y hardware. |
|---|
| 42 | |
|---|
| 43 | %\item Existencia de puertas traseras (backdoors) en los sistemas |
|---|
| 44 | %informáticos que representa una vía de acceso no autorizada. |
|---|
| 45 | |
|---|
| 46 | \item |
|---|
| 47 | La instalación incorrecta de software o hardware, o fallas en la configuración y su mantenimiento. |
|---|
| 48 | |
|---|
| 49 | |
|---|
| 50 | %\item El no contemplar la seguridad frente a las amenazas del |
|---|
| 51 | %interior de la institución |
|---|
| 52 | \end{itemize} |
|---|
| 53 | |
|---|
| 54 | Para atender estos asunto la organización puede utilizar herramientas para realizar análisis y evaluación de vulnerabilidades, que permitan conocer la situación real de los sistemas y de acuerdo con esa información se pueden reajustar las políticas de seguridad, implantación de mecanismos o medidas de seguridad. |
|---|
| 55 | |
|---|
