¿Cómo diferenciar las amenazas y vulnerabilidades?
El término vulnerable significa: Que puede ser herido o recibir lesión, física o moralmente. Por el contrario, el término amenaza, se define como: Dar a entender con actos o palabras que se quiere hacer algún mal a alguien. Como podemos apreciar, la propia definición de cada palabra ya establece una diferenciación clara.
Una cuestión es tener la posibilidad de sufrir un ataque o amenaza por causa de las deficiencias propias que no han sido subsanadas y visibles de forma exterior y otra, sufrir una amenaza o ataque independientemente de si somo o no vulnerables. En la amenaza existe internacionalidad de realizar una acción por parte de un tercero mediante determinadas acciones, mientras que en la vulnerabilidad no se puede aplicar este planteamiento, ya que se considera algo intrínseco e inherente, en mayor o menor medida, a la capacidad del sujeto de resolver todas las deficiencias o carencias que pueda tener.
Diferencias entre diferentes conceptos
Si lo trasladamos al campo de los sistemas informáticos, podemos considerar un sistema vulnerable como aquel susceptible de recibir un determinado grado de daño, de forma general por causas propias.
Es cierto que, en el ámbito informático, vulnerabilidad y amenaza suelen ir de la mano, pero el auge de la ingeniería social por parte de los ciberdelincuentes hace que no siempre sea necesario ser vulnerable a nivel de sistema para estar expuestos a amenazas y, por lo tanto, sufrir ataques.
En el ámbito empresarial, en muchas ocasiones, es el propio usuario quien crea la vulnerabilidad o propicia la amenaza de forma involuntaria. Los ciberdelincuentes sabes esto, considerando a los usuarios los eslabones más débiles de la cadena, y, por tanto, los más susceptibles de estar expuestos a amenazas y recibir ataques.
Podemos decir que es el propio usuario quien es vulnerable al engaño de la ingeniería social. Pero incluir a todo el mundo en la característica de vulnerable no es un planteamiento correcto, ya que no existen personas “invulnerables” a engaños, pero si existen grandes equipos que se encuentran perfectamente formados y concienciados que pueden evitarlos.
También deberemos tener en cuenta que una amenaza puede que se convierta en una vulnerabilidad, sino se utilizan las medidas correctas de seguridad oportunas mediante parches o actualizaciones de software y herramientas de protección adecuadas.
Por este motivo, para evitar sufrir un ciberataque, se debe estar plenamente concienciado y debe encontrarse en los planes de ciberseguridad empresarial como medida para paliar este tipo de eventos.
Ejemplo de amenaza y vulnerabilidad
Para comprenderlo de la mejor forma posible, vamos a poner un ejemplo.
Hoy en día, cualquier página web se encuentre expuesta a amenazas en la red. Podemos imaginar un sitio web de un banco o una tienda online. Los dos gestionan información confidencial. Si los sistemas de dichos sitios no se encuentran actualizados y no llevan a cabo medidas de protección adecuadas, por lo que podríamos decir que estos sitios son vulnerables a diferentes amenazas, y, por lo tanto, susceptibles de recibir diferentes ataques.
Sin embargo, si los sitios web de los que hablamos implantan medidas oportunas y se encuentran actualizados, pueden no ser vulnerables a estas amenazas, pero no estarían exentos de sufrir algún ataque, generado, por ejemplo, por un ciberatacante que utilice la ingeniería social contra un usuario de la organización con el que conseguir información privilegiada.
Es muy importante que entendamos que la amenaza siempre está presente.
En algunas ocasiones, trazar una línea que separe una amenaza de una vulnerabilidad es muy difícil, por ejemplo, si hablamos de un dispositivo obsoleto de comunicaciones en una red corporativa, podemos decir que hablamos de una amenaza para la organización, pero ¿puede suponer también una vulnerabilidad? Si consideramos que el dispositivo puede provocar daños a la organización si podría ser una amenaza. Si por el contrario consideramos que puede suponer un riesgo por favorecer los ataques, entonces, sería más bien una vulnerabilidad. En ambos casos, el denominador común es un riesgo o daños para la organización, uno de forma directa y otro de forma indirecta.
Cómo combatir las ciberamenazas
Aunque no existe un método infalible, podemos estar prevenidos ante posibles amenazas en la organización si concienciamos al equipo, instruyéndoles en la utilización segura de las tecnologías que tiene a su alcance mediante campañas de formación y prevención, haciéndoles saber que cualquier comportamiento extraño que pueda detectar en su día a día, deberá ser comunicado lo antes posible a la persona encargada de la ciberseguridad de la organización mediante los canales internos de los que disponga la organización.
Además, deberá establecer un canal de información, poniendo especial énfasis en el empleado participe de las posibles amenazas mediante circulares informativas, correos electrónicos o cualquier otro medio a su alcance, con esto conseguirá mejorar la sensibilidad ante los temas y poner en guardia al personal ante diferentes situaciones de riesgo que no estuvieran previstas.
Diplomado ISO 27001
Nadie está a salvo de los riesgos que podemos encontrar en nuestros Sistemas de Seguridad de la Información. La información se transmite más rápido que nunca y no podemos evitarlo. Sin embargo, podemos trabajar en dicha seguridad protegiendo tanto nuestros equipos como nuestros propios sistemas. Descubra todos los requisitos y lo que puede mejorar con el Diplomado ISO/IEC 27001.