ISMS Copilot
Glosario de ISO 27001

¿Qué es una degradación en ISO 27001?

Resumen

Una vulnerabilidad es una debilidad en un activo o control que puede ser explotada por una amenaza para causar daño. En ISO 27001:2022, identificar las vulnerabilidades es esencial durante la evaluación de riesgos (Cláusula 6.1.2) porque representan los puntos de entrada a través de los cuales las amenazas pueden impactar su seguridad de la información.

Las vulnerabilidades existen en la tecnología, los procesos, las personas y la infraestructura física; abordarlas reduce la exposición al riesgo de su organización.

Vulnerabilidades en la práctica

Durante la evaluación de riesgos, usted identifica las vulnerabilidades asociadas con sus activos de información. Una vulnerabilidad por sí sola no crea riesgo: debe estar emparejada con una amenaza creíble que pueda explotarla.

Ecuación de riesgo: Riesgo = Amenaza × Vulnerabilidad × Valor del activo × Impacto

Los controles del Anexo A están diseñados para reducir o eliminar las vulnerabilidades, dificultando que las amenazas tengan éxito.

Las vulnerabilidades cambian con el tiempo a medida que los sistemas envejecen, se implementa nuevo software, las configuraciones se desvían y los empleados cambian. Las evaluaciones periódicas de vulnerabilidad (al menos anualmente o cuando ocurren cambios significativos) son esenciales.

Categorías de vulnerabilidades

Vulnerabilidades técnicas

Debilidades en sistemas tecnológicos y software:

  • Software no parcheado: Fallos de seguridad conocidos en sistemas operativos, aplicaciones o firmware

  • Configuraciones incorrectas: Ajustes inseguros (contraseñas predeterminadas, puertos abiertos, permisos excesivos)

  • Cifrado débil: Algoritmos criptográficos obsoletos o gestión deficiente de claves

  • Falta de validación de entradas: Código vulnerable a inyección SQL, cross-site scripting

  • Falta de controles de seguridad: Sin firewall, antivirus o detección de intrusiones

Ejemplo: Un servidor de comercio electrónico que ejecuta software desactualizado con una vulnerabilidad conocida de ejecución remota de código. Amenaza: Hacker externo. Control: Gestión de parches (A.8.8).

Vulnerabilidades humanas

Debilidades relacionadas con las personas y el comportamiento:

  • Falta de concienciación sobre seguridad: Empleados que desconocen el phishing, la ingeniería social o las políticas de seguridad

  • Capacitación insuficiente: El personal no sabe cómo manejar datos sensibles de forma segura

  • Prácticas deficientes de contraseñas: Contraseñas débiles, reutilizadas o compartidas

  • Privilegios excesivos: Usuarios con más acceso del necesario para su rol

  • Falta de segregación de funciones: Una sola persona controla procesos críticos

Ejemplo: Los empleados que carecen de capacitación en concienciación de seguridad son vulnerables a ataques de phishing. Amenaza: Ingeniería social. Control: Capacitación en concienciación de seguridad de la información (A.6.3).

Vulnerabilidades de procesos

Debilidades en los procedimientos y flujos de trabajo de la organización:

  • Sin gestión de cambios: Cambios en el sistema realizados sin revisión ni pruebas

  • Revisiones de acceso inadecuadas: Exempleados que aún tienen cuentas activas

  • Respuesta a incidentes deficiente: No hay un plan para detectar y responder a eventos de seguridad

  • Gestión de proveedores débil: Terceros no evaluados por riesgos de seguridad

  • Falta de procedimientos de respaldo: No hay una recuperación confiable ante la pérdida de datos

Ejemplo: La falta de un proceso para desactivar cuentas cuando los empleados se van crea una vulnerabilidad de acceso no autorizado. Amenaza: Exempleado descontento. Control: Gestión del ciclo de vida de la identidad (A.5.18).

Vulnerabilidades físicas

Debilidades en la seguridad física:

  • Instalaciones inseguras: Sin controles de acceso a salas de servidores u oficinas

  • Controles ambientales inadecuados: Sin supresión de incendios ni monitoreo de temperatura

  • Equipos no protegidos: Servidores, computadoras portátiles o medios de respaldo dejados sin seguridad

  • Gestión de visitas deficiente: Acceso sin restricciones para proveedores o invitados

Ejemplo: Una sala de servidores accesible para todos los empleados es vulnerable al robo o sabotaje. Amenaza: Persona interna malintencionada. Control: Controles de acceso físico (A.7.2).

Una sola vulnerabilidad puede habilitar múltiples amenazas. Por ejemplo, la falta de autenticación de múltiples factores (MFA) hace que los sistemas sean vulnerables al robo de credenciales, phishing, adivinación de contraseñas y abuso interno.

Métodos de evaluación de vulnerabilidades

ISO 27001:2022 requiere identificar vulnerabilidades como parte de la evaluación de riesgos (Cláusula 6.1.2). Los métodos comunes de evaluación incluyen:

Escaneo automatizado de vulnerabilidades

Uso de herramientas para escanear sistemas en busca de vulnerabilidades conocidas (CVEs), configuraciones incorrectas y parches faltantes.

Herramientas: Nessus, Qualys, OpenVAS, escáneres de proveedores de nube (AWS Inspector, Azure Security Center).

Pruebas de penetración

Ataques simulados por profesionales de seguridad para identificar vulnerabilidades explotables antes de que lo hagan atacantes reales.

Revisiones de código

Análisis manual o automatizado del código fuente de la aplicación para encontrar fallos de seguridad.

Auditorías de configuración

Revisión de los ajustes del sistema frente a líneas base de seguridad (Benchmarks de CIS, guías de endurecimiento de proveedores).

Análisis de brechas (Gap Analysis)

Comparar los controles actuales con los requisitos del Anexo A para identificar controles faltantes o débiles.

El Anexo A incluye el punto A.8.8 (Gestión de vulnerabilidades técnicas) que requiere obtener información sobre vulnerabilidades técnicas, evaluar la exposición y tomar medidas para abordarlas.

Ciclo de vida de la vulnerabilidad

La gestión de vulnerabilidades sigue un ciclo continuo:

  1. Identificación: Descubrir vulnerabilidades a través de escaneos, auditorías e inteligencia de amenazas

  2. Evaluación: Evaluar la gravedad basándose en la explotabilidad y el impacto potencial

  3. Priorización: Clasificar las vulnerabilidades por riesgo (considerar puntuaciones CVSS, contexto de la amenaza, criticidad del activo)

  4. Remediación: Aplicar parches, reconfigurar sistemas, implementar controles compensatorios

  5. Verificación: Confirmar que las vulnerabilidades están resueltas

  6. Monitoreo: Vigilar continuamente en busca de nuevas vulnerabilidades

Vulnerabilidad vs. Amenaza vs. Riesgo

Estos conceptos trabajan juntos en la evaluación de riesgos:

  • Vulnerabilidad: Debilidad que puede ser explotada (ej. servidor web sin parches)

  • Amenaza: Causa potencial de daño que explota la debilidad (ej. bot automatizado escaneando servidores vulnerables)

  • Riesgo: Probabilidad e impacto de que la amenaza explote la vulnerabilidad (ej. alto riesgo de brecha de datos por ataque de inyección SQL)

Selección de controles: Implementar gestión de vulnerabilidades (A.8.8), configuración segura (A.8.9) y controles de seguridad en aplicaciones web para reducir el riesgo.

Ejemplos comunes de vulnerabilidad

Empresa de tecnología

  • Vulnerabilidad: Los puntos finales de la API carecen de limitación de tasa (rate limiting)

  • Amenaza: Ataque de relleno de credenciales (credential stuffing)

  • Riesgo: Robo de cuenta y brecha de datos

  • Control: Implementar limitación de tasa y monitoreo (A.8.16)

Organización sanitaria

  • Vulnerabilidad: Dispositivos médicos en la red con contraseñas predeterminadas

  • Amenaza: Ransomware propagándose por la red

  • Riesgo: Interrupción de la atención al paciente y cifrado de datos

  • Control: Segmentación de red (A.8.22), política de contraseñas (A.5.17)

Servicios financieros

  • Vulnerabilidad: Los empleados carecen de concienciación sobre phishing

  • Amenaza: Campaña de spear-phishing dirigida

  • Riesgo: Fraude electrónico o robo de credenciales

  • Control: Capacitación en concienciación de seguridad (A.6.3), filtrado de correo electrónico (A.8.7)

Use ISMS Copilot para identificar vulnerabilidades comunes para sus tipos de activos, mapear vulnerabilidades con los controles apropiados del Anexo A o generar planes de remediación basados en los resultados del escaneo de vulnerabilidades.

Requisitos de documentación

La documentación de su evaluación de riesgos debe incluir:

  • Vulnerabilidades identificadas para cada activo

  • Evaluación de severidad y explotabilidad

  • Qué amenazas podrían explotar cada vulnerabilidad

  • Controles seleccionados para abordar las vulnerabilidades

  • Cronogramas para la remediación

  • Vulnerabilidades residuales aceptadas con justificación

Términos relacionados

  • Amenaza – Lo que explota las vulnerabilidades

  • Evaluación de Riesgos – Proceso para identificar vulnerabilidades

  • Activo – Lo que contiene las vulnerabilidades

  • Control – Medidas que reducen las vulnerabilidades

¿Te fue útil?