Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la

empresa propuesta agrupados por categorías (hardware, software, redes,

comunicaciones, seguridad física, seguridad lógica, personal del área, bases
de datos, sistemas operativos, entre otros).

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Uso de software no Difusión de software Falta de actualización de Software
licenciado en la dañino los antivirus, ya que son
empresa copias ilegales que no
permiten su
actualización.
2 Adquisición de Manipulación de la Falta de actualización del Software
software que no configuración sistema operativo de los
tiene soporte del Fallos en el sistema equipos de cómputo que
fabricante operativo tienen Windows XP, 7, 8
y 10
3 No existe proceso de Accesos no No existe directivas de Seguridad
revisión de autorizados contraseñas para las lógica
contraseñas cuentas de usuario
4 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
personal que ya no labora
en la empresa.
5 No existen Desastres naturales No existen planes de Seguridad
procedimientos para debido a movimiento contingencia en caso de lógica
la administración de telúricos pérdidas de información y
la información copias de seguridad.
6 Ausencia de planes Desastres naturales No se realizan copias de Seguridad
para recuperación de seguridad de manera lógica
información periódica de la
información sensible en
medios externos.
7 No existe control de Intercepción No se utiliza ningún Seguridad
acceso a la Modificación sistema de cifrado de lógica
información discos en el servidor o en
los equipos
8 La información Intercepción Los sistemas de Seguridad
transmitida no está Modificación información disponibles lógica
cifrada o hay pérdida no cifran los datos
de información cuando se están
almacenando o
transmitiendo
9 Falta de Errores de usuario El personal no cuenta con Manejo y
conocimiento de los programas de control de
usuarios en el tema capacitación y formación personal
de seguridad
 informática y de la en seguridad informática
información y de la información.
10 No existe un Control Utilización de los No existe control de Redes
y monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red de
datos
11 Acceso no Acceso físico a los Los servidores y equipos Manejo y
autorizado al área de recursos del sistema del área de sistemas no control de
sistemas se encuentran bajo algún personal
armario cerrado o en
alguna oficina con acceso
restringido.
12 No existe control de Introducción de Alteración o pérdida de la Hardware
los dispositivos de información falsa información registrada en
almacenamiento base
(usb, cd, discos) de datos o equipos
13 Acceso no Entrada o Accesos no No se tiene Manejo y
autorizado a las autorizados implementado un sistema control de
áreas restringidas de identificación de personal
empleados, visitantes,
acompañantes y registro
de visitantes.
14 Ausencia de un No establecer políticas No existe un proceso de Manejo y
Sistema de Gestión y procedimientos de auditoría a la seguridad control de
de Seguridad de la seguridad de la informática y de la personal
Información información. información que
garantice el sistema de
control adecuado para la
implementación de
políticas y
procedimientos en el
Sistema de Seguridad.
15 Fuga de información Mal uso del correo Uso indebido del correo Seguridad
institucional, ya que no de electrónico para el lógica
se utiliza solo para envío de información a
comunicación laboral. personal externo
16 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el lógica
acceso a internet.
17 Fallas en el Bajas de voltaje y poca Solo existe una ups la Hardware
suministro de concientización por cual se tiene para el
energía parte del personal servidor Hp Proliant
administrativo. Ml110 G6, en caso de un
bajón de energía, no
 alcanza a soportar con la
conectividad de todos los
computadores e
impresoras
multifuncionales de la
empresa
18 No existe sistema de Atentados a las El empleado o trabajador Manejo y
vigilancia y personal instalaciones de la puede ser una víctima control de
suficiente para empresa (vandalismo) directa o indirecta de una personal
vigilancia interna. agresión externa en
contra de la Empresa.

19 No se hace revisión Accesos No Al no contar con VPN, no Seguridad

de virus, troyanos y autorizados al sistema analiza el tráfico por VPN lógica
espías en la VPN a IPSec, L”TP, PPTP y SSL
través del uso de en busca de software
sistema de usuario malintencionado, correo
remoto (acceso no deseado, contenidos
remoto) inapropiados e
intusiones.
20 No existe un firewall Accesos No La no aplicabilidad en Seguridad
activo. autorizados Firewall – saber qué lógica
puertos se deben
bloquear o permitir, la
forma de interactuar con
ella o es propietario de
ella, quien tiene acceso a
la consola de control.
21 Falta de capacitación Fallas en la Falta de actualización y Software
del personal del área configuración de los configuración adecuada
informática. equipos del equipo por parte del
personal del área de
sistemas

22 El cableado Daños de las Algunos de los Redes

estructurado no comunicaciones. segmentos de la red se
cumple con las encuentran a la
normas intemperie lo que puede
causar manipulación de
red, daños a la red,
rupturas y su transmisión
de datos presentan
caídas de paquetes de
información.
23 No hay seguimiento No existe Detección deEl Ingeniero encargado la Seguridad
a los controles de intrusiones, contención
administración de los lógica
seguridad del y/o eliminación. sistemas de la empresa,
sistema informático no cumple con las
funciones de
administración de la
seguridad del sistema y
tampoco tiene
implementados controles
de seguridad por lo que
se han presentado
ataques al sistema
24 No se controla los No existe perfiles de Modificación sin Seguridad
permisos y usuario en el sistema autorización de los lógica
privilegios de los datos, o de software
usuarios instalado en el sistema,
incluyendo borrado de
archivos.

25 Fallos en la red LAN Mala configuración de Existen fallas en la Redes

la seguridad de los seguridad y las
dispositivos de red comunicaciones
tales como routers, originadas por la
switches. inadecuada
configuración de los
dispositivos de la red.

26 Fallas en los Caídas de los sistemas Ausencia de parches de Software

sistemas operativos operativos seguridad y
instalados sin actualizaciones, pérdida
licencia de información.