ANALISIS DE VULNERABILIDADES DE RIESGOS

SARA MARIA FERNÁNDEZ VALENZUELA

GRUPO: 38110

INSTRUCTOR
FERNANDO QUINTERO

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

ADMINISTRACION DE REDES DE CÓMPUTO
MEDELLÍN
SENA
2010
 INTRODUCCIÓN

En el siguiente informe se explicará de forma clara y precisa el análisis de vulnerabilidades de

riesgos y los parámetros que debemos tomar en cuenta al momento de llevar a cabo un análisis
de riesgo de dichos activos. De igual manera se define y explica con precisión la utilización de
métodos para hacer redundancia de datos con el propósito de evitar pérdidas y mantenernos
informados de dichas vulnerabilidades con dicho proceso de trabajo, el cual argumente porque
es necesario incluir los resultados de un análisis de vulnerabilidades de un informe final de un
análisis de riesgos.

Se realizó con la mayor creatividad e interés posible para que el lector lo disfrute completamente.
1. porque es necesario incluir los resultados de un análisis de vulnerabilidades en el
informe final de un análisis de riesgos.

La seguridad de red comprende tanto la protección física de los dispositivos como

también la integridad, confidencialidad y autenticidad de las transferencias de datos que
circulan por esta.

• La información debe estar protegida de una destrucción o modificación

accidental o intencional (Integridad).

• La red debe estar disponible siempre y con la eficiencia necesaria, aun ante las
fallas inesperadas (Disponibilidad).

• Se mantenga la integridad física de los dispositivos de red como servidores,

switches, entre otros.

A través de un análisis de vulnerabilidades, un analista en la seguridad puede examinar

la potencia y seguridad de cada uno de los sistemas y dispositivos antes ataques y
obtener la información necesaria para analizar cuales son las contramedidas que se
pueden aplicar con el fin de minimizar el impacto de un ataque.

Se debe realizar un análisis de vulnerabilidades:

• Cuando se realicen actualizaciones de los dispositivos

• Periódicamente
• Cuando ocurran cambios en el esquema de la red o los sistemas

Existen diversas herramientas que se pueden utilizar para realizar un análisis de

vulnerabilidades:

• Escaneo de puertos
• Analizador de protocolos
• Passwords crackers
• Detección de vulnerabilidades

También existen sitios donde encontraremos información muy diversa, desde

publicaciones y bibliografía en seguridad, hasta repositorios de vulnerabilidades con sus
exploits:

• CERT (Computer Emergency Response Team)

• SANS (SysAdmin, Audit, Network, Security)
• NIST (National Institute Of Standards and Technology)
• NSA (National Security Agency)
 Antes de comenzar con el análisis de vulnerabilidades es necesario definir cuales van a
ser las labores a realizar, y cuales serán los límites, permisos y obligaciones que se
deberán respetar.

Al momento del análisis, deben estar avisadas la menor cantidad de personas, de

manera que la utilización de la red por parte del personal sea normal, se deben evitar
cambios en la forma de trabajo.

• El principal objetivo exterior es acceder en forma remota a los servidores de la

organización y obtener privilegios o permisos que no deberían estar disponibles.

Para realizar dicho proceso se procede a realizar las siguientes pruebas:

• Identificación de los servicios de sistemas

• Búsqueda y verificación de vulnerabilidades
• Enrutamiento
• Verificación de redes inalámbricas
• Escaneo de puertos

Las vulnerabilidades son la consecuencia de bugs o de fallos en el diseño del sistema.

Aunque, en un sentido más amplio, asimismo pueden ser el efecto de las propias
restricciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo
tanto constan vulnerabilidades teóricas y vulnerabilidades reales.

CUÁNDO DEBE HACERSE UN ANÁLISIS DE VULNERABILIDAD

Debe ejecutarse un análisis de vulnerabilidad en aquellas instalaciones y labores de

infraestructura, cuyo casual mal movimiento o desastre (debido a los efectos esperados
de las pérdidas preciados) pueda formar situaciones de emergencia o peticiones que
excedan el contenido de atención.

Por ejemplo, las compañías han determinado criterios de paciencia de riesgo social y
cuando el riesgo no es tolerable, es necesaria la protección de medidas de ingeniería
para reducirlo. Los criterios anteriores deben ser completados para emplearlos a los
sistemas de suministro.
 El análisis de vulnerabilidad debe ser cumplido por un conjunto de profesionales que
obtengan profunda experiencia en el diseño, operación, mantenimiento y reparación de
los elementos del sistema. Las vulnerabilidades reveladas en el sistema, tanto en los
aspectos físicos, operativos, como en los referentes a la administración, se sintetizarán
en matrices de análisis que almacenan la información básica para la producción de los
planes de mitigación y atención de emergencia y desastre.

LOS MÉTODOS CUANTITATIVOS

Los métodos cuantitativos para la sistematización de riesgo complican oficialmente el

uso de análisis estadísticos y probabilísticos para establecer la probabilidad de
ocurrencia de los fenómenos, la inseguridad de los componentes en riesgo y el peligro
inducido. El procedimiento a aplicar depende de la irregularidad del fenómeno y de su
variación espacial. Algunos ejemplos se muestran en la tabla siguiente

RECURRENCIA Y
VARIABILIDAD ESPACIAL TIPO DE ANÁLISIS EJEMPLO
DEL FENOMENO
• Espacial en función o no de la
magnitud
• Espacial y frecuencia en • Terremotos
Impactan en áreas función o no de la magnitud • Flujos de lava
diferentes • Simulación / Modelización con
método determinanticos y/o
probabilísticos.
• Simulación / Modelización con
Impacta una vez solamente métodos determinanticos y/o • Desastres (hogares)
probabilísticos

• Análisis de frecuencia en
función o no de la magnitud del • Inundaciones en El Rama
Impactan siempre en la fenómeno. • Deslizamiento de Selva
misma área • Simulaciones a través de Negra
métodos probabilísticos o • Tsunamis-maremotos
determinanticos

Una vulnerabilidad, se puede concretar como un cambio de un método (o conjunto de

sistemas) que puede:

• Autorizar a un atacante permitiéndole la información confidencial

• Autorizar a un atacante transformar información
• Autorizar a un atacante negar un servicio
El análisis de vulnerabilidades el cual mejora el proceso de análisis de riesgo, es un
movimiento principal con el fin de ubicarnos hacia un método de gestión de la seguridad
de la información, el cual debería percibir las siguientes acciones:

• ENTENDIMIENTO DE LA INFRAESTRUCTURA

En este cambio se busca, equilibrar cada uno de los mecanismos de hardware o

software residentes en los servicios básicos que llevan los procesos del negocio.
Esta opción debe iniciarse con los servicios proporcionados, continuar luego con
los procesos agrupados a estos servicios y de allí, establecer los activos o
dispositivos que llevan estos procesos.

Dentro de los potenciales elementos de los servicios básicos en un tiempo dado

lograran llegar a albergar vulnerabilidades a nivel de software obtenemos los
siguientes:

 Servidores

 Aplicaciones

 Estaciones de trabajo

 Bases de datos

 Firewalls

 Enrutadores

• PRUEBAS DE EXPLOTACIÓN DE LAS VULNERABILIDADES

Una vez especificadas las vulnerabilidades más críticas, se debe efectuar una
prueba sobre ellas con el fin de ejecutar su explotación. En un orden en que el
objeto sea más inteligente y organizada el proceso será más corto y no requerirá
un perfil tan afectado. La causa de explotación debe incluir el escalar privilegios
(tomar control del dispositivo como administrador) con el fin de tomar control
general de los métodos y de esta manera seguir de modo estricta la forma en que
se producen a cabo los ataques en la existencia real.
• PLAN DE REMEDIACIÓN DE VULNERABILIDADES

Se debe plantear un plan de remediación establecido para las vulnerabilidades, el

cual podría ser parte del procedimiento de tratamiento general de riesgos, una
vez templado está, se haya hecho un estudio formal y preciso de las
consecuencias obtenidas tanto de la prueba de vulnerabilidades como de las de
explotación. Este plan, especifica con ayuda de la herramienta de
vulnerabilidades y de aplicación, la critica de cada una de las vulnerabilidades
halladas y propone cuales deben ser remediadas en el corto, mediano o largo
plazo. Esta medida sobre el tiempo a establecer el control relativo a la
vulnerabilidad también debe observar el costo del control, capacidad,
administración y habilidad de ejecución.
 CONCLUSIÓN

• Dentro de la estrategia de operación y mantenimiento de los servicios, las empresas

deben preparar planes de aplacamiento y de ocurrencia, dirigidos el primero a disminuir la
vulnerabilidad de los métodos y el segundo a dar respuesta al impacto una vez ocurrida la
amenaza para defender la continuidad y aptitud de los servicios con el mínimo de
obstáculos y molestias para los clientes, y para garantizar la protección de la salud
pública.

• En la autenticación, otro elemento importante es el almacén de credenciales pues si este

es vulnerado toda la seguridad se pierde y la aplicación se vuelve una entrada directa
para un ataque.

• El análisis de vulnerabilidad se emplea no solo a las organizaciones físicas de los

sistemas o dispositivos, sino también a la formación y administración de las empresas
para establecer sus debilidades y plantear las medidas correctivas y de reforzamiento que
deban efectuarse para eliminar o disminuir su vulnerabilidad.