Vamos a poner un ejemplo para asimilar este tema, realizar un análisis de vulnerabilidades es similar a cuando una persona va al doctor para que realice un chequeo de rutina para ver cómo se esta. Los resultados pueden le pueden decir cómo se encuentra, le pueden dar una receta y recomendaciones a seguir.
Ahora, es común que cuando una persona va al doctor, solo pida un examen general porque no se tiene tiempo, porque no quiere gastar dinero en medicina o porque solo quiere cumplir con el examen anual de rutina, entonces el medico procede a ponerle el estetoscopio, pesarla, tomarle la estatura y la presión arterial, con esto le da un diagnóstico. A esto es a lo que llamamos: “examen sin credenciales”, porque no se tiene conocimiento acerca de cómo se encuentra la persona internamente ya que no se realizaron los exámenes necesarios.
En la otra mano, tenemos a las personas que realmente se interesan por su salud, y cada vez que van al médico piden que le ordenen exámenes completos para saber cómo están en temas de azúcar, triglicéridos, colesterol, peso y otros asuntos. Esto es lo que llamamos: “examen con credenciales”, los resultados de estos exámenes muestran realmente como se encuentra internamente la salud de la persona.
Los resultados de un examen con credenciales van a mostrar muchas asuntos que no se podrían observar de otra forma, y puede llevar más trabajo el tratarlos, pero tenga en cuenta no va a tener una venda en los ojos y que va a saber realmente cuáles son sus riesgos.
La definición técnica del análisis de vulnerabilidad es: definir, identificar, clasificar y priorizar las debilidades de los activos para proporcionar una evaluación de las amenazas previsibles y reaccionar de manera apropiada.
Es a grandes rasgos, la misma definición de un examen médico, solo que las enfermedades para los activos digitales se descubren con mucha más frecuencia que las nuevas enfermedades para los humanos, por ello, es recomendado realizar estos análisis con mucha más frecuencia.
Recuerde: el análisis de vulnerabilidades siempre se realiza con credenciales, lo más frecuente posible y a todos los activos de la organización porque: “una manzana podrida puede podrir las otras manzanas”. Si quiere ir un paso adelante, revise la posibilidad de implementar un programa de gestión de vulnerabilidades y si quiere ir aún más lejos puede revisar el marco de ciberseguridad del NIST.
Nota:
Recuerde que este blog está escrito para personas sin conocimientos en el área técnica, si desea información técnica al respecto, por favor póngase en contacto usando el formulario de la columna derecha.
No hay comentarios:
Publicar un comentario