\section{Vulnerabilidades de los sistemas de información}

Se refiere a la debilidad que tiene los sistemas informáticos, que pueden ser afectados, violando la confidencialidad, integridad, disponibilidad de los datos y aplicaciones.

\subsection{Causas de las vulnerabilidades de los sistemas informáticos}

Entre las causas que se consideran responsables de las vulnerabilidades que afectan a los sistemas informáticos tenemos:

\begin{itemize}
\item Debilidad en el diseño de los protocolos utilizados en las redes, como por ejemplo los protocolos de intercambio de información en texto claro, algunos protocolos de Internet no contemplaron la seguridad en su diseño inicial.

\item Fallos en los diseños y/o codificación de los programas. En algunos ocasiones los parches y actualizaciones de seguridad suministradas por los desarrolladores, no arreglan los problemas, o incluso pueden incluir nuevas vulnerabilidades. 

\item Configuración inadecuada de los sistemas informáticos ya sea por: la poco documentación que exista de sistema, por lo poco seguro del sistema o dispositivo. 

\item Políticas de seguridad deficientes o inexistente, en muchas instituciones no han definido e implementado de forma eficaz unas adecuadas  políticas de seguridad de acuerdo a sus necesidades.

\item Desconocimiento y falta de sensibilidad de los usuarios y de los responsables de informática. todas las soluciones tecnológicas que la institución pueden implementar (sistemas de detección de intruso, cortafuego, etc) resultan inútiles antes el desinterés, falta de información, falta de preparación en materia de seguridad.

\item La falta de sensibilización de los directivos y responsables de la organización, que deben ser conscientes de la necesidad de destinar recursos a esta función

\item Disponibilidad de herramientas, de fácil instalación , utilización, con detallada documentación que te permite encontrar agujeros de seguridad, ataques contra redes y sistemas informáticos.

\item Existencia de puertas traseras (backdoors) en los sistemas informáticos que representa una vía de acceso no autorizada.

\item La no correcta instalación, configuración y mantenimiento de los equipos

\item El no contemplar la seguridad frente a las amenazas del interior de la institución
\end{itemize}

La institución podría utilizar herramientas para realizar análisis y evaluación de vulnerabilidades, que permita conocer la situación real de un sistemas y de acuerdo con esa información se podrían reajustar las políticas de seguridad, implantación de mecanismo o medidas de seguridad.\\

Dentro de la evaluación de la seguridad, que representa una valiosa herramienta metodología, son las pruebas de penetración  que constan de las siguientes etapas:\\

Reconocimiento del sistema, para conocer que tipo de información se podría obtener un atacante o un usuario malicioso.

\begin{itemize}

\item Detección y verificación de vulnerabilidades de los sistemas de la institución.

\item Intentos de penetración en la vulnerabilidades detectadas

\item Generación de informes, con el análisis de los resultados.

\item Aplicación de mecanismos o medidas de seguridad  de ser necesario (en caso de que la seguridad a sido comprometida).

\end{itemize}