| 1 | \section{Vulnerabilidades de los sistemas de información} |
|---|
| 2 | |
|---|
| 3 | Se refiere a las fallas presentes en los esquemas de autenticación y autorización de los sistemas informáticos, y que pueden |
|---|
| 4 | afectar los niveles de confidencialidad, integridad, disponibilidad de |
|---|
| 5 | los datos y aplicaciones. |
|---|
| 6 | |
|---|
| 7 | \subsection{Causas de las vulnerabilidades de los sistemas informáticos} |
|---|
| 8 | |
|---|
| 9 | Entre las causas que se consideran responsables de las vulnerabilidades |
|---|
| 10 | que afectan a los sistemas informáticos se tienen: |
|---|
| 11 | |
|---|
| 12 | \begin{itemize} |
|---|
| 13 | \item Debilidad en el diseño de los protocolos utilizados en las redes, como por |
|---|
| 14 | ejemplo los protocolos de transmisión de datos en texto claro. |
|---|
| 15 | |
|---|
| 16 | \item Fallos en los diseños y/o codificación de los programas. |
|---|
| 17 | %En algunos ocasiones los parches y actualizaciones de seguridad suministradas por |
|---|
| 18 | %los desarrolladores, no arreglan los problemas, o incluso pueden |
|---|
| 19 | %incluir nuevas vulnerabilidades. |
|---|
| 20 | |
|---|
| 21 | \item Configuración inadecuada de los sistemas informáticos. |
|---|
| 22 | %ya sea por: |
|---|
| 23 | %la poco documentación que exista de sistema, por lo poco seguro del |
|---|
| 24 | %sistema o dispositivo. |
|---|
| 25 | |
|---|
| 26 | \item Políticas de seguridad deficientes o inexistentes. |
|---|
| 27 | %en muchas |
|---|
| 28 | %instituciones no han definido e implementado de forma eficaz unas |
|---|
| 29 | %adecuadas políticas de seguridad de acuerdo a sus necesidades. |
|---|
| 30 | |
|---|
| 31 | \item Desconocimiento y falta de sensibilidad de los usuarios y de |
|---|
| 32 | los responsables de informática. Todas las soluciones tecnológicas |
|---|
| 33 | que la organización pueda implementar (sistemas de detección de |
|---|
| 34 | intruso, cortafuego, entre otros) resultan inútiles antes el desinterés, |
|---|
| 35 | falta de información, falta de preparación en materia de seguridad. |
|---|
| 36 | La falta de sensibilización de los directivos y responsables de |
|---|
| 37 | la organización, que deben estar conscientes de la necesidad de destinar |
|---|
| 38 | recursos a esta función. |
|---|
| 39 | |
|---|
| 40 | \item Poca y pobre documentación de software y hardware. |
|---|
| 41 | |
|---|
| 42 | %\item Existencia de puertas traseras (backdoors) en los sistemas |
|---|
| 43 | %informáticos que representa una vía de acceso no autorizada. |
|---|
| 44 | |
|---|
| 45 | \item La instalación incorrecta de software o hardware, o fallas en la configuración y su mantenimiento. |
|---|
| 46 | |
|---|
| 47 | |
|---|
| 48 | %\item El no contemplar la seguridad frente a las amenazas del |
|---|
| 49 | %interior de la institución |
|---|
| 50 | \end{itemize} |
|---|
| 51 | |
|---|
| 52 | La organización podría utilizar herramientas para realizar análisis y |
|---|
| 53 | evaluación de vulnerabilidades, que permitan conocer la situación real de |
|---|
| 54 | los sistemas y de acuerdo con esa información se podrían reajustar |
|---|
| 55 | las políticas de seguridad, implantación de mecanismos o medidas de |
|---|
| 56 | seguridad. |
|---|
| 57 | |
|---|
