Con el tiempo suficiente, los recursos y la motivación, un intruso puede violar casi cualquier sistema. Al final del día, todos los procedimientos de seguridad y la tecnología disponible actualmente no pueden garantizar que sus sistemas estén seguros de un ataque. Los enrutadores lo pueden ayudar a asegurar sus puertas de enlace (gateways) a la Internet. Los cortafuegos (firewalls) le permiten asegurar el borde de su red. Las redes privadas virtuales pueden pasar con seguridad sus datos en un flujo encriptado. Los sistemas de detección de intrusos pueden advertirlo de actividades maliciosas. Sin embargo, el éxito de cada una de estas tecnologías depende de un número de variables, incluyendo:
La experiencia del personal responsable de la configuración, supervisión y mantenimiento de las tecnologías.
La habilidad de remendar y actualizar servicios y kernels rápida y eficientemente.
La habilidad de aquellos responsables de mantener vigilancia constante sobre la red.
Dado el estado dinámico de los sistemas de datos y tecnologías, asegurar sus recursos corporativos puede ser bien complejo. Debido a esta complejidad, puede ser difícil encontrar recursos expertos para todos sus sistemas. Mientras que es posible tener personal con conocimientos en muchas áreas de seguridad de información a un nivel alto, es difícil mantener personal que sea experto en más de unas pocas áreas particulares. Esto se debe principalmente a que cada área en particular de seguridad de la información requiere constante atención y foco. La seguridad de información no se queda quieta.
Imagine que usted administra una red corporativa. Tales redes usualmente estan formadas de sistemas operativos, aplicaciones, servidores, monitores de red, cortafuegos, sistemas de detección de intrusos y más. Ahora imagínese el tratar de mantenerse actualizado con cada uno de estos. Dada la complejidad de los ambientes de software y de redes de hoy, los ataques y los bugs son una posibilidad constante. El tratar de mantenerse actualizado con las mejoras y actualizaciones para la red completa puede ser una tarea abrumadora cuando se trata de una organización grande y con sistemas heterogéneos.
Combine los requerimientos de experiencia con la tarea de mantenerse actualizado y es inevitable que incidentes adversos ocurrirán, habrá sistemas violados, se perderán datos y se interrumpe el servicio.
Para incrementar su tecnología de seguridad y ayudar a proteger los sistemas, redes y datos, piense como un cyberpirata (cracker) y estime la seguridad de los sistemas revisando sus debilidades. Las evaluaciones de vulnerabilidad preventivas contra sus propios sistemas y recursos de red puede revelar problemas potenciales que se pueden solucionar antes de que un cyberpirata los descubra.
Una evaluación de vulnerabilidad es una auditoría interna de su red y sistemas de seguridad; cuyos resultados indicarán la confidencialidad, integridad y disponibilidad de su red (como se explica en la Sección 1.1.4). Una evaluación de vulnerabilidad típicamente comienza con una etapa de reconocimiento durante la cual se reunen datos importantes relacionados con los recursos y sistemas objetivo. Esta fase lo conducirá a la fase de preparación de los sistemas, donde el objetivo es básicamente revisado contra todas las debilidades conocidas. La fase de preparación culmina en la fase de informes, donde se clasifican los resultados en categorias de alto, medio y bajo riesgo y se discuten los métodos para mejorar la seguridad (o disminuir la vulnerabilidad) del objetivo.
Si usted tuviese que realizar una evaluación de la vulnerabilidad de su hogar, probablemente verificará cada puerta de su casa para ver si estas se encuentran cerradas y aseguradas. Quizás también verificará cada ventana, asegurándose de que estas se encuentren bien cerradas y con seguro. Este mismo concepto aplica a los sistemas, redes y datos electrónicos. Los usuarios maliciosos son los ladrones y vándalos de sus datos. Fíjese mentalmente en sus herramientas y motivaciones y podrá responder rápidamente a sus acciones.