miércoles, 4 de mayo de 2011

Vulnerabilidades y amenazas.

En mi último artículo publicado, el dedicado al Rooted COM 2011, hago mención en varias ocasiones al termino de vulnerabilidad. Bien, creo que es el momento de introducir formalmente dos de los conceptos fundamentales sobre los que se basa toda la disciplina de la seguridad informática, o la más amplia de la seguridad de la información. Son los conceptos de vulnerabilidad y amenaza.

El diccionario de la RAE define la vulnerabilidad como la Cualidad de vulnerable y vulnerable como Que puede ser herido o recibir lesión, física o moralmente. Para amenaza tenemos la definición (3ª) Delito consistente en intimidar a alguien con el anuncio de la provocación de un mal grave para él o su familia. Estas definiciones, si bien no fijan su uso en seguridad de la información, sí nos aproximan a la naturaleza de su finalidad.

Si recurrimos a una definición profesional (tomada del glosario de ITIL) tenemos:
Amenaza. Cualquier cosa que pueda aprovechar un Vulnerabilidad. Cualquier causa potencial de un Incidente puede ser considerada una Amenaza. Por ejemplo un fuego es una Amenaza que puede aprovechar la Vulnerabilidad de moquetas inflamables. Este término es comúnmente usado en la Gestión de la Información de Seguridad y la Gestión de Continuidad del Servicio de TI, pero también aplica a otras áreas tales como Gestión de la Disponibilidad y Problemas.

Vulnerabilidad. Una debilidad que puede ser aprovechada por una Amenaza. Por ejemplo un puerto abierto en el cortafuegos, una clave de acceso que no se cambia, o una alfombra inflamable. También se considera una Vulnerabilidad un Control perdido.

Son dos definiciones absolutamente explicativas y, como no podía ser de otra forma, que vinculan sin posibilidad de separación a uno y otro concepto. Si no hay amenazas que se puedan materializar, las vulnerabilidades son irrelevantes. Por el contrario si no somos vulnerables a amenazas existentes tranquilamente podemos pasar de ellas.

Las definiciones de ITIL (marco para la gestión de los servicios de tecnologías de la información) además nos proponen ejemplos altamente ilustrativos y todos ellos relacionados con la seguridad de la información.
En mi siguiente publicación trataré los otros dos conceptos fundamentales. El riesgo y los incidentes.


Fotografía por cortesía de FreeSotckPhotography
Publicado por Jaez a las 19:31
Claves: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Licencia de Creative Commons
Las ideas de InnoSIB by InnoSIB is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License