Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la
empresa propuesta agrupados por categorías (hardware, software, redes,
comunicaciones, seguridad física, seguridad lógica, personal del área, bases de datos, sistemas operativos, entre otros).
N° Vulnerabilidad Amenazas Riesgo Categoría
1 Uso de software no Difusión de software Falta de actualización de Software licenciado en la dañino los antivirus, ya que son empresa copias ilegales que no permiten su actualización. 2 Adquisición de Manipulación de la Falta de actualización del Software software que no configuración sistema operativo de los tiene soporte del Fallos en el sistema equipos de cómputo que fabricante operativo tienen Windows XP, 7, 8 y 10 3 No existe proceso de Accesos no No existe directivas de Seguridad revisión de autorizados contraseñas para las lógica contraseñas cuentas de usuario 4 Falta de control de Suplantación de Se encuentran activas Seguridad cuentas de usuario identidad cuentas de usuario de lógica personal que ya no labora en la empresa. 5 No existen Desastres naturales No existen planes de Seguridad procedimientos para debido a movimiento contingencia en caso de lógica la administración de telúricos pérdidas de información y la información copias de seguridad. 6 Ausencia de planes Desastres naturales No se realizan copias de Seguridad para recuperación de seguridad de manera lógica información periódica de la información sensible en medios externos. 7 No existe control de Intercepción No se utiliza ningún Seguridad acceso a la Modificación sistema de cifrado de lógica información discos en el servidor o en los equipos 8 La información Intercepción Los sistemas de Seguridad transmitida no está Modificación información disponibles lógica cifrada o hay pérdida no cifran los datos de información cuando se están almacenando o transmitiendo 9 Falta de Errores de usuario El personal no cuenta con Manejo y conocimiento de los programas de control de usuarios en el tema capacitación y formación personal de seguridad informática y de la en seguridad informática información y de la información. 10 No existe un Control Utilización de los No existe control de Redes y monitoreo en el recursos del sistema acceso a direcciones de acceso a Internet para fines no previstos internet por parte del administrador, lo que hace insegura a la red de datos 11 Acceso no Acceso físico a los Los servidores y equipos Manejo y autorizado al área de recursos del sistema del área de sistemas no control de sistemas se encuentran bajo algún personal armario cerrado o en alguna oficina con acceso restringido. 12 No existe control de Introducción de Alteración o pérdida de la Hardware los dispositivos de información falsa información registrada en almacenamiento base (usb, cd, discos) de datos o equipos 13 Acceso no Entrada o Accesos no No se tiene Manejo y autorizado a las autorizados implementado un sistema control de áreas restringidas de identificación de personal empleados, visitantes, acompañantes y registro de visitantes. 14 Ausencia de un No establecer políticas No existe un proceso de Manejo y Sistema de Gestión y procedimientos de auditoría a la seguridad control de de Seguridad de la seguridad de la informática y de la personal Información información. información que garantice el sistema de control adecuado para la implementación de políticas y procedimientos en el Sistema de Seguridad. 15 Fuga de información Mal uso del correo Uso indebido del correo Seguridad institucional, ya que no de electrónico para el lógica se utiliza solo para envío de información a comunicación laboral. personal externo 16 Robo de información Falta de control de Falta de controles y Seguridad acceso en internet restricciones para el lógica acceso a internet. 17 Fallas en el Bajas de voltaje y poca Solo existe una ups la Hardware suministro de concientización por cual se tiene para el energía parte del personal servidor Hp Proliant administrativo. Ml110 G6, en caso de un bajón de energía, no alcanza a soportar con la conectividad de todos los computadores e impresoras multifuncionales de la empresa 18 No existe sistema de Atentados a las El empleado o trabajador Manejo y vigilancia y personal instalaciones de la puede ser una víctima control de suficiente para empresa (vandalismo) directa o indirecta de una personal vigilancia interna. agresión externa en contra de la Empresa.
19 No se hace revisión Accesos No Al no contar con VPN, no Seguridad
de virus, troyanos y autorizados al sistema analiza el tráfico por VPN lógica espías en la VPN a IPSec, L”TP, PPTP y SSL través del uso de en busca de software sistema de usuario malintencionado, correo remoto (acceso no deseado, contenidos remoto) inapropiados e intusiones. 20 No existe un firewall Accesos No La no aplicabilidad en Seguridad activo. autorizados Firewall – saber qué lógica puertos se deben bloquear o permitir, la forma de interactuar con ella o es propietario de ella, quien tiene acceso a la consola de control. 21 Falta de capacitación Fallas en la Falta de actualización y Software del personal del área configuración de los configuración adecuada informática. equipos del equipo por parte del personal del área de sistemas
22 El cableado Daños de las Algunos de los Redes
estructurado no comunicaciones. segmentos de la red se cumple con las encuentran a la normas intemperie lo que puede causar manipulación de red, daños a la red, rupturas y su transmisión de datos presentan caídas de paquetes de información. 23 No hay seguimiento No existe Detección deEl Ingeniero encargado la Seguridad a los controles de intrusiones, contención administración de los lógica seguridad del y/o eliminación. sistemas de la empresa, sistema informático no cumple con las funciones de administración de la seguridad del sistema y tampoco tiene implementados controles de seguridad por lo que se han presentado ataques al sistema 24 No se controla los No existe perfiles de Modificación sin Seguridad permisos y usuario en el sistema autorización de los lógica privilegios de los datos, o de software usuarios instalado en el sistema, incluyendo borrado de archivos.
25 Fallos en la red LAN Mala configuración de Existen fallas en la Redes
la seguridad de los seguridad y las dispositivos de red comunicaciones tales como routers, originadas por la switches. inadecuada configuración de los dispositivos de la red.
26 Fallas en los Caídas de los sistemas Ausencia de parches de Software
sistemas operativos operativos seguridad y instalados sin actualizaciones, pérdida licencia de información.