![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2020\/03\/buenas-practicas2-300x225.jpg\")
<\/p>\n<\/p>\n
Muchas veces, para los usuarios de las tecnolog\u00edas de la informaci\u00f3n y las comunicaciones (TIC), las vulnerabilidades pasan inadvertidas o sencillamente se desconoce su existencia.<\/p>\n
Sin embargo, es esencial el conocimiento del tema, por la incidencia que tiene el factor humano en ellas y por ende, en la seguridad de la informaci\u00f3n de los sistemas inform\u00e1ticos.<\/p>\n
<\/p>\n
Para comprender la afirmaci\u00f3n anterior, se hace necesario conocer la definici\u00f3n del t\u00e9rmino vulnerbilidad.<\/p>\n
El concepto vulnerabilidad que se toma como punto de partida es el que brinda el Decreto 360\/2019 de la Rep\u00fablica de Cuba en su art\u00edculo 9 que dice:<\/p>\n
\u201cLa vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser da\u00f1ada su seguridad; representa los aspectos falibles o atacables en el sistema inform\u00e1tico y califica el nivel de riesgo de su sistema\u201d.<\/p>\n
Como se aprecia el concepto est\u00e1 vinculado de manera indisoluble al de riesgo, pero para una mejor comprensi\u00f3n. Se considera m\u00e1s importante, exponer las principales causas de vulnerabilidades, para posteriormente brindar las mejores pr\u00e1cticas que pueden contribuir a mejorar la salud de los sistemas inform\u00e1ticos desde la mitigaci\u00f3n de este tipo de lastre.<\/p>\n
1. Errores de dise\u00f1o en la arquitectura del software que hace posible la existencia de brechas de seguridad en los sistemas. <\/p>\n
2. Errores de configuraci\u00f3n que son resultado de las limitaciones en la aplicaci\u00f3n de procedimientos para la gesti\u00f3n de seguridad.<\/p>\n
3. Procedimientos mal elaborados que son una causa directa de brechas en la seguridad de la informaci\u00f3n.<\/p>\n
4. Contrase\u00f1as d\u00e9biles utilizadas por los usuarios que facilitan su detecci\u00f3n y que muchas veces no cumplen el requisito del cambio, bajo el nivel de frecuencia determinado en el Plan de Seguridad Inform\u00e1tica.<\/p>\n
5. Software desactualizado como consecuencia de que no se aplican las actualizaciones para corregir brechas y aplicar parches de seguridad.<\/p>\n
6. Problemas en el cifrado de datos que ponen en peligro la informaci\u00f3n.<\/p>\n
7. Ingenier\u00eda social, que con sus trampas permite la manipulaci\u00f3n de las personas e inducirlas a acciones que pongan en peligro la confidencialidad del sistema.<\/p>\n
8. Problemas de autenticaci\u00f3n y autorizaci\u00f3n que son el resultado de limitaciones en la implementaci\u00f3n de controles de accesos estrictos para acceder a la informaci\u00f3n. De esto esto es un ejemplo muy com\u00fan la informaci\u00f3n compartida sin que medie la protecci\u00f3n por contrase\u00f1as.<\/p>\n
9. Programas antivirus desactualizados o con la protecci\u00f3n permanente desactivada, que permiten el ingreso de c\u00f3digos malignos que ponen en peligro la informaci\u00f3n o facilitan al atacante el control del sistema inform\u00e1tico.<\/p>\n
Como se puede apreciar, la mayor parte de estas causales de las vulnerabilidades est\u00e1n ligadas a la actividad humana.<\/p>\n
En los tres primeros casos, puede que un usuario no vea su relaci\u00f3n, sin embargo el intercambio con el medio t\u00e9cnico le puede dar indicios de que algo anda mal y entonces la forma de enfrentar la vulnerabilidad es reportar la incidencia por las v\u00edas establecidas para que sea suprimida.<\/p>\n
De nada vale, que se gasten innumerables recursos de red en detectar vulnerabilidades a trav\u00e9s del escaneo, la actualizaci\u00f3n del software para esta actividad, medios t\u00e9cnicos dedicados a la b\u00fasqueda de \u201chuecos de seguridad\u201d en la red y como es de suponer, recursos humanos para desarrollar el trabajo e interpretar los resultados que mejoren el sistema; si las personas que interact\u00faan con las tecnolog\u00edas cometen errores que generan vulnerabilidades que exponen al sistema inform\u00e1tico.<\/p>\n
Por ello es esencial para todos, mantener un esp\u00edritu de superaci\u00f3n continuo en torno al uso seguro de las TIC y en ese \u00e1mbito, es recomendable para suprimir brechas, atender un conjunto de buenas pr\u00e1cticas, que aportan fiabilidad al sistema desde el modo de actuaci\u00f3n.<\/p>\n
1. Asegurar la creaci\u00f3n y uso de contrase\u00f1as s\u00f3lidas, que eviten el uso de datos previsibles y posean al menos ocho caracteres que conjuguen letras may\u00fasculas y min\u00fasculas, n\u00fameros y tambi\u00e9n s\u00edmbolos. Adem\u00e1s es necesario cambiarlas al menos cada 90 d\u00edas.<\/p>\n
2. No compartir informaci\u00f3n sin que medie la identificaci\u00f3n en el proceso de uso, a trav\u00e9s de la autentificaci\u00f3n por medio de contrase\u00f1as.<\/p>\n
3. Nunca enviar datos personales de ning\u00fan tipo, en especial credenciales de usuario o datos bancarios, a nadie que los solicite esgrimiendo cualquier motivo. Estas solicitudes son falsas. Debe recordarse que los datos de acceso de los usuarios se guardan encriptados en los servidores y por ello nadie, ni siquiera los administradores de red, tienen acceso a ellos.<\/p>\n
4. Contribuir con la exigencia al personal t\u00e9cnico, de que el software y los programas antivirus est\u00e9n actualizados a versiones recientes.<\/p>\n
Para que se comprenda mejor, se puede tomar el ejemplo del c\u00f3digo maligno conocido como Kido Killer, que infecta las PC a partir de una vulnerabilidad del sistema operativo que no ha sido actualizado. Si se corre el parche correspondiente cesa esta amenaza.<\/p>\n
5. Facilitar, prestar o no mantener reglas adecuada para custodiar las credenciales de usuario es una falta punible, pero adem\u00e1s es causa de numerosos problemas en la red ya que permite que otra persona, el acceso a la informaci\u00f3n para la que no se le asignaron permisos.<\/p>\n
Los permisos de acceso a la informaci\u00f3n se asignan seg\u00fan las necesidades de la persona para el desarrollo de sus funciones en la instituci\u00f3n, por ende, este tipo de actos ponen en peligro la confidencialidad, la integridad y la disponibilidad de la informaci\u00f3n y del sistema.<\/p>\n
6. Los ataques de phishing, tan comunes en los correos electr\u00f3nicos que arriban a los buzones de la instituci\u00f3n est\u00e1n sustentados en la ingenier\u00eda social. Esta se caracteriza por inducir mediante m\u00faltiples t\u00e9cnicas de enga\u00f1o, persuasi\u00f3n y otros subterfugios, para que las personas faciliten datos confidenciales en respuesta a los mensajes recibidos.<\/p>\n
Es conveniente agregar que se ha detectado que algunas personas para lograr \u201cmayor celeridad\u201d en el procesamiento de la PC desconectan la protecci\u00f3n permanente de los programas antivirus, sin comprender que abren las puertas a c\u00f3digos malignos que pueden llegar a trav\u00e9s de las redes o de dispositivos extra\u00edbles infectados.<\/p>\n
Es recomendable que ante cualquier mensaje extra\u00f1a o duda y sobre todo, antes de enviar cualquier dato se consulte al personal especializado de su \u00e1rea o de la Direcci\u00f3n de Informatizaci\u00f3n.<\/p>\n
En caso de que se enviaran datos la primera medida para corregir el problema es cambiar la contrase\u00f1a de acceso de inmediato, garantizando desde luego su fortaleza.<\/p>\n
Muchas veces, para los usuarios de las tecnolog\u00edas de la informaci\u00f3n y las comunicaciones (TIC), las vulnerabilidades pasan inadvertidas o sencillamente se desconoce su existencia. Sin embargo, es esencial el conocimiento del tema, por la incidencia que tiene el factor … Sigue leyendo