Vulnerability Assessment

Extracto del Requerimiento 11 del PCI-DSS, donde se

pide evaluar vulnerabilidades trimestralmente.

El concepto de Vulnerability Assessment (VA) o evaluación de vulnerabilidades es utilizado en un sinfín de disciplinas y se refiere a la búsqueda de debilidades en distintos tipos de sistemas. En este sentido, no solo se remite a las tecnologías informáticas o a las telecomunicaciones, sino que incluye áreas como, por ejemplo, sistemas de transporte, sistema de distribución de energía y de agua, procesos de biotecnología, energía nuclear, y otros. De esta manera, se busca determinar las amenazas, los agentes de amenaza y las vulnerabilidades a los que está expuesto el sistema en su conjunto. 

Estas debilidades suelen referirse a todas aquellas de carácter técnico que dependen de las cualidades intrínsecas del sistema que se esté evaluando. En nuestro caso, teniendo en cuenta lo antedicho, vamos a hablar sobre Vulnerability Assessment cuando nos refiramos a un análisis técnico sobre las debilidades de una infraestructura informática y de telecomunicaciones. Puntualmente, se analizarán vulnerabilidades asociadas a distintos servidores, dispositivos, sistemas operativos, aplicaciones y un largo etcétera vinculado a todas las deficiencias técnicas posibles. 

Es importante destacar que este tipo de evaluaciones solo identifica potenciales vulnerabilidades, pero no confirma que estas existan. Dicho de otra forma, cuando se detecta una vulnerabilidad en un equipo o sistema, no se trata de explotarla para confirmar su existencia, sino que, simplemente, se la reporta. Por lo general, las diferentes normativas exigen efectuar determinada cantidad de evaluaciones de vulnerabilidades en forma anual. 

Por ejemplo, PCI-DSS requiere cuatro evaluaciones en el año. En relación a este tipo de evaluaciones, se desarrolló el Open Vulnerability and Assessment Language (OVAL), un estándar internacional de seguridad de la información abierto, cuyo objetivo es promocionar y publicar contenido de seguridad y normalizar la transferencia de este por todo el espectro de herramientas y servicios de seguridad. Incluye un lenguaje desarrollado en XML utilizado para codificar los detalles de los sistemas y una colección de contenido relacionado alojado en distintos repositorios, mantenidos por la comunidad OVAL. Su sitio oficial es: http://oval.mitre.org.