Qué es una amenaza vulnerabilidad y riesgo

Saber identificar conceptos como amenaza, vulnerabilidad y riesgo, y cómo un incidente puede afectar a su organización le ayudará a saber si su organización está en riesgo.

La apuesta por la ciberseguridad en las empresas implica el uso de términos como amenaza, vulnerabilidad o riesgo que es necesario distinguir.

Aunque los términos vulnerabilidad y amenaza se usan indistintamente, el Instituto Nacional de Ciberseguridad de España (INCIBE) advierte de las diferencias que existen en su significado.

Esta organización explica que, si bien la amenaza siempre está presente, la vulnerabilidad la inicia el usuario.

Ejemplo de vulnerabilidades en sistemas de información

Teniendo en cuenta los conceptos de amenaza y vulnerabilidad, se puede citar como ejemplo un sitio web que procesa datos de tarjetas de crédito. Para este sitio, Internet es un entorno de amenazas ya que existen piratas informáticos y ciberdelincuencia, entre otros. Además, las vulnerabilidades de este sitio web podrían ser que no se implementen controles de autenticación para acceder a información relevante o que la arquitectura de la red interna esté expuesta a redes poco confiables como Internet.

Otro concepto importante en ciberseguridad es la noción de ataque. Los ataques no deben confundirse con las amenazas. Los ataques o ciberataques son un mecanismo mediante el cual un atacante aprovecha una vulnerabilidad para causar un impacto en la seguridad informática que compromete la confidencialidad, integridad o disponibilidad de un sistema de información.

Robo y usurpación de identidad

El phishing o usurpación de identidad es otro de los delitos que más ha aumentado en los últimos años. Los ciberdelincuentes intentan obtener información personal o credenciales de la víctima para hacerse pasar por ella. El robo de identidad es muy peligroso, ya que a menudo se usa con fines maliciosos, como Por ejemplo, acceder a cuentas bancarias, celebrar contratos en nombre de la víctima, etc.

Uno de los delitos cibernéticos de los que las empresas suelen ser víctimas es la divulgación de información confidencial. Los piratas informáticos ingresan a las computadoras corporativas para obtener información secreta y compartirla con otros a cambio de dinero. Aunque las organizaciones suelen ser el objetivo de estos delitos en línea, las personas también pueden convertirse en víctimas, por ejemplo, cuando se utiliza información personal privada para causar daño o socavar el honor o la privacidad de una persona.