En los procesos de gestión de vulnerabilidades existen varios elementos que se deben considerar, desde la revisión de códigos fuentes hasta los scanners de vulnerabilidades y test de penetración. Cada uno de estos componentes es relevante en términos de ayudar a las organizaciones a disminuir los riesgos y proteger los activos informáticos críticos ante un eventual ataque, permitiendo así la continuidad de los negocios; sin embargo puede afirmarse que el test de penetración es la herramienta más dinámica en términos de evaluar la susceptibilidad de una organización ante las amenazas del mundo real.

El análisis de código fuente debe ser ejecutado durante el desarrollo, lo más temprano posible dentro de éste proceso, facilitando combatir las vulnerabilidades potenciales antes que ellas encuentren su camino a los entornos de producción. No obstante, incluso los sistemas más controlados suelen tener numerosas fallas de seguridad, debido principalmente a las limitaciones de tiempo que enfrentan a menudo los grupos de desarrollo, y a la escasez de habilidades de codificación segura disponible entre los desarrolladores.

La prevención de intrusiones y evaluaciones de infraestructuras de seguridad, entre algunos de sus beneficios, permite identificar las vulnerabilidades y riesgos inherentes a las tecnologías o sistemas informáticos utilizados, validando la efectividad de su actual postura de seguridad y sus defensas, facilitando los pasos para solucionar las vulnerabilidades identificadas. Permite mitigar el riesgo de eventos no planeados, denegaciones de servicios, pérdidas económicas, también previenen multas y conflictos legales cumpliendo con las normas internacionales y la Ley Chilena N°19.628 De Protección de Datos de Carácter Personal.

1. EVALUACIÓN DE SEGURIDAD EN APLICACIONES WEB

Muchas empresas ejecutan aplicaciones críticas a través de Internet, exponiendo el flujo de información a importantes problemáticas en seguridad. Dada la complejidad de estas utilidades, es inevitable la existencia de brechas en múltiples niveles, por lo que no bastan las técnicas tradicionales como la utilización de hardwares especializados en seguridad.

Es necesario para las instituciones comprender la robustez y fiabilidad de sus aplicaciones frente a los riesgos que su exposición en Internet puede ocasionar, conocimiento que las faculta a reflexionar sobre estas nuevas problemáticas, les permite discernir entre los riesgos reales que requieren atención prioritaria y los secundarios, para aplicar las medidas necesarias en un orden cronológico eficiente, privilegiando la seguridad de la información más sensible en el comienzo, terminando por la más trivial.

Las Evaluaciones de Seguridad en Aplicaciones Web simulan atacantes externos con la intención de encontrar debilidades que podrían ser explotadas para acceder a bases de datos a través de aplicaciones vulnerables, como también obtener control sobre las páginas corporativas o aplicaciones de pago.

Para realizar estas evaluaciones se utilizan herramientas de escaneo automatizadas y para cubrir falencias de estas tecnologías, como las vulnerabilidades no advertidas por el escaneo, es imprescindible el criterio de un analista altamente especializado.

Todas las organizaciones que poseen bases de datos con información de terceros o vital para la continuidad de sus propios negocios, están expuestas a ataques internos o externos, por lo que deberían evaluar sus aplicaciones en el momento de adquirirlas o durante el periodo de garantía, para así no exponer esa valiosa información a mal uso en ningún momento y para exigir a los proveedores de las aplicaciones corregir todas las debilidades detectadas sin incurrir en mayor inversión.

2. VULNERABILITY ASSESSMENT

Las metodologías de evaluación de vulnerabilidades más frecuentes, como los scanners de vulnerabilidades, intentan ayudar a las organizaciones a reunir la mayor cantidad de información sobre puntos débiles, pero por lo general, producen grandes volúmenes de datos, esto significa que los administradores de sistemas de las instituciones se enfrentan a un exhaustivo trabajo en términos de discernir qué vulnerabilidades presentan riesgos tangibles para sus activos en tecnologías informáticas y sus infraestructuras de redes.

Más allá de filtrar los falsos positivos que los scanners tienden a incluir en sus resultados, estudios recientes han demostrado que de las miles de vulnerabilidades encontradas típicamente al escanear las redes y aplicaciones de las grandes organizaciones, sólo una pequeña fracción representa una exposición crítica del negocio.

Los análisis de vulnerabilidades son muy útiles, precisan menos tiempo que otras soluciones, incluso son menos costosos, pero deben ser ejecutados por diestros técnicos, especializados en investigación y explotación de vulnerabilidades, capaces de identificar riesgos reales en la estructura de seguridad, descartando aquellos imposibles de explotar por un atacante, permitiendo a las instituciones priorizar inversiones para corregir los problemas inmediatos.

3. TEST PENETRACIÓN

En los complejos entornos de red actuales, las posibilidades de ataques a nuestros sistemas informáticos son cada vez mayores y para mitigar el peligro al que está expuesta la información, es necesario conocer todas las debilidades de las estructuras que las defienden. Para esto se utilizan los test de penetración, que permiten a las organizaciones evaluar proactivamente las vulnerabilidades, usando exploits, metodologías y técnicas del mundo real, simulando una intervención en los sistemas de la misma forma en que un atacante lo haría, tanto dentro como fuera de la institución. Además, permite ahorrar tiempo al descartar falsos positivos que no representan debilidades explotables ni riesgos auténticos para la información. Los test de penetración pueden ser considerados como la mejor herramienta para determinar la eficacia de las soluciones de seguridad y los sistemas de defensa, porque analizan activamente si es que tales protecciones pueden ser eludidas por los atacantes.

El aspecto más relevante es que los resultados de los test de penetración permiten al personal de informática identificar las áreas críticas de seguridad que requieren atención inmediata, entre ellas, las vulnerabilidades que pueden ser vistas y explotadas por individuos no autorizados, "crackers", agentes de información, ladrones, antiguos empleados, competidores, etc. Conocer las debilidades de los sistemas de seguridad posibilita delinear un orden de prioridad frente a aquellos temas que significan riesgos menores.

Prevención de Intrusión y Evaluación de Estructura de Seguridad