\section{Vulnerabilidades de los sistemas de información} Se refiere a las fallas presentes en los esquemas de autenticación y autorización de los sistemas informáticos, y que pueden afectar los niveles de confidencialidad, integridad, disponibilidad de los datos y aplicaciones. \subsection{Causas de las vulnerabilidades de los sistemas informáticos} Entre las causas que se consideran responsables de las vulnerabilidades que afectan a los sistemas informáticos se tienen: \begin{itemize} \item Debilidad en el diseño de los protocolos utilizados en las redes, como por ejemplo los protocolos de transmisión de datos en texto claro. \item Fallos en los diseños y/o codificación de los programas. %En algunos ocasiones los parches y actualizaciones de seguridad suministradas por %los desarrolladores, no arreglan los problemas, o incluso pueden %incluir nuevas vulnerabilidades. \item Configuración inadecuada de los sistemas informáticos. %ya sea por: %la poco documentación que exista de sistema, por lo poco seguro del %sistema o dispositivo. \item Políticas de seguridad deficientes o inexistentes. %en muchas %instituciones no han definido e implementado de forma eficaz unas %adecuadas políticas de seguridad de acuerdo a sus necesidades. \item Desconocimiento y falta de sensibilidad de los usuarios y de los responsables de informática. Todas las soluciones tecnológicas que la organización pueda implementar (sistemas de detección de intruso, cortafuego, entre otros) resultan inútiles ante el desinterés, falta de información, falta de preparación en materia de seguridad. La falta de sensibilización de los directivos y responsables de la organización, que deben estar conscientes de la necesidad de destinar recursos a esta función. \item Poca y pobre documentación de software y hardware. %\item Existencia de puertas traseras (backdoors) en los sistemas %informáticos que representa una vía de acceso no autorizada. \item La instalación incorrecta de software o hardware, o fallas en la configuración y su mantenimiento. %\item El no contemplar la seguridad frente a las amenazas del %interior de la institución \end{itemize} La organización podría utilizar herramientas para realizar análisis y evaluación de vulnerabilidades, que permitan conocer la situación real de los sistemas y de acuerdo con esa información se podrían reajustar las políticas de seguridad, implantación de mecanismos o medidas de seguridad.