Lista de vulnerabilidades, amenazas y riesgos informticos detectados en la

empresa propuesta agrupados por categoras (hardware, software, redes,

comunicaciones, seguridad fsica, seguridad lgica, personal del rea, bases
de datos, sistemas operativos, entre otros).
N

Vulnerabilidad
Falta de actualizacin de
los antivirus, ya que son
copias ilegales que no
permiten su actualizacin.
Falta de actualizacin del
sistema operativo de los
equipos de cmputo que
tienen Windows XP

Amenazas
Difusin
daino

de

Riesgo

Categor
a
software Uso de software Software
no licenciado

Manipulacin
de
la
configuracin
Difusin de software
daino
Fallos en el sistema
operativo
No existe directivas de Accesos no autorizados
contraseas
para
las
cuentas de usuario
Se encuentran activas Suplantacin
cuentas de usuario de identidad
personal que ya no labora
en la empresa.
No existen planes de Desastres naturales
contingencia en caso de
prdidas de informacin.
No se realizan copias de
seguridad
de
manera
peridica de los recursos
crticos.
No se utiliza ningn
sistema de cifrado de
discos en el servidor o en
los equipos
Los
sistemas
de
informacin disponibles no
cifran los datos cuando se
estn
almacenando
o
transmitiendo
Falta de conocimiento de

Desastres naturales

Adquisicin
de Software
software que no
tiene soporte del
fabricante

No
existe
proceso
de
revisin
de
contraseas
de Errores en la
desactivacin de
cuentas
de
usuario

Seguridad
lgica

No contar con
procedimientos
para
la
administracin
de la informacin
Ausencia
de
planes
para
recuperacin de
informacin

Seguridad
lgica

Seguridad
lgica

Seguridad
lgica

Intercepcin
Modificacin

Acceso
no Seguridad
autorizado a la lgica
informacin

Intercepcin
Modificacin

Alteracin
prdida
informacin

Errores de usuario

El personal no Manejo y

o Seguridad
de lgica

los usuarios en el manejo

de
herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no
se
han
realizado
capacitaciones
a
los
usuarios
para
concientizarlos sobre la
seguridad de los datos.
1 No existe un Control y
0 monitoreo en el acceso a
Internet
11 No existen polticas para la
utilizacin de firewall en
los equipos o en la red
1 Los servidores y equipos
2 del rea de sistemas no se
encuentran bajo algn
armario cerrado o en
alguna oficina con acceso
restringido.
1 No existe control de los
3 dispositivos
de
almacenamiento (usb, cd,
discos)

1
4

1
5
1
6

cuenta con las control de

actitudes
y personal
aptitudes
requeridas para
hacer uso de la
informacin por
medio de los
sistemas
de
informacin.

Utilizacin
de
los Red insegura
recursos del sistema
para fines no previstos
Errores de configuracin

Red
insegura

Redes

local Redes

Acceso fsico a los Acceso

no Manejo y
recursos del sistema
autorizado
al control de
rea de sistemas personal

Introduccin
informacin falsa

de Alteracin
o Hardware
prdida de la
informacin
registrada
en
base
de
datos
o
equipos
No se tiene implementado Entrada o Accesos no Acceso
no Manejo y
autorizado a las control de
un
sistema
de autorizados
reas
personal
identificacin
de
restringidas
empleados,
visitantes,
acompaantes y registro
de visitantes.
El servidor Web est Manipulacin
de
la Versiones
de Software
software
utilizando una versin PHP configuracin
desactualizadas
desactualizada
Falencia en cuanto a las No establecer polticas Ausencia de un Manejo y
de control de
polticas
de
la de seguridad de la Sistema
Gestin
de personal
implementacin
del informacin.
Seguridad de la
Sistema de Seguridad.
Informacin

1
7
1
8
1
9

2
0

2
1

2
2

Uso indebido del correo de La mala utilizacin del

correo, ya que no se
electrnico
utiliza
solo
para
comunicacin laboral.
Falta de controles para el Falta de precaucin y
control de acceso
acceso a internet.
Solo existe una ups la cual
se tiene para el servidor
Hp Proliant Ml110 G6, en
caso de un bajn de
energa, no alcanza a
soportar
con
la
conectividad de todos los
computadores
e
impresoras
multifuncionales de la
empresa
La prestacin de servicio
de un agente de una
empresa
externa, esta
espordica y solo cuando
se requiera del servicio de
este.
VPN y el uso de sistema
de usuario remoto (acceso
remoto): debe ser revisado
en busca de virus /
troyanos
/
puertas
traseras.

No existe un firewall.

Fuga
informacin

de Seguridad
lgica

Robo
informacin

de Seguridad
lgica

Bajas de voltaje y poca Fallas

en
concientizacin por parte suministro
del
personal energa
administrativo.

el Hardware
de

El trabajador externo
puede ser una vctima
incgnita, indirecta y
presencial
a
una
agresin externa en
contra de la Empresa.

Atentados a las Manejo y

instalaciones de control de
la
empresa personal
(vandalismo)

Al no contar con VPN,

no analiza el trfico por
VPN IPSec, LTP, PPTP
y SSL en busca de
software
malintencionado, correo
no deseado, contenidos
inapropiados
e
intusiones.
La no aplicabilidad en
Firewall saber qu
puertos
se
deben
bloquear o permitir, la
forma de interactuar con
ella o es propietario de
ella, quien tiene acceso
a la consola de control.

Accesos
autorizados
sistema

No Seguridad
al lgica

Accesos
autorizados

No Seguridad
lgica

2
3

El uso no aceptable de Concientizar al personal

hardware,
tales
como no usar mdems de
mdems.
Internet personal sin un
firewall.

2
4

Falta de actualizacin y
configuracin
adecuada
del equipo, lo que no
podra
realizarse
con
efectividad sino se cuenta
con un sistema original
El cableado estructurado
de la red se encuentra a la
intemperie

2
5

2
6

No hay seguimiento a los

controles de seguridad del
sistema informtico

2
7

Falta
definicin
y
delimitacin de las reas
de cada integrante.

2
8

2
9

Uso indebido de Hardware

dispositivos
personales
externos
para
lucro propio

Falta de concientizacin Fallas

en
la Software
y de programacin de configuracin de
las mismas por parte de los equipos
personal de sistemas.

La manipulacin de esta
red presenta daos,
rupturas
y
su
transmisin de datos
suelen presentar varias
cadas de paquetes de
informacin.
El Ingeniero encargado
la administracin de los
sistemas de la empresa,
debe
realizar
estos
controles y al no contar
con los controles de
seguridad se pueden
presentar
muchos
ataques
Al no tener las directivas
de usuarios en el
servidor.

Daos de las Redes

comunicaciones.

No
existe Seguridad
Deteccin
de lgica
intrusiones,
contencin
y/o
eliminacin.

Accesos Fsicos
ilimitados a las
reas
restringidas de la
empresa
Falta de controles en la Utilizacin
de
los Falta de Sistema
de
seguridad del sistema recursos del sistema Deteccin
para
fines
no
previstos;
Intrusiones
informtico
Como defensivos y no
ofensivos.
Aumento de privilegios
Ejecucin de cdigo Modificacin
malicioso
y
o desautorizada de
modificacin de archivos los datos, o de
software
instalado en el
sistema,

Seguridad
fsica

Seguridad
lgica

Seguridad
lgica

incluyendo
borrado de
archivos.
3
0

3
3

Mala configuracin que

compromete
la
seguridad
de
las
empresas al instalar
routers, switches y otros
equipos de red sin las
ramificaciones
de
seguridad
de
cada
dispositivo.
No existen contraseas de Control
de
acceso.
Recoleccin
de
acceso a los equipos
informacin
revisando
los archivos que puedan
estar en la computadora,
hackers.
Fallas en los sistemas
Ausencia de parches de
operativos instalados
seguridad
y
actualizaciones, prdida
de informacin.
No
utilizacin
de
software licenciado.
Falta de seguridad de los
Perdida de paquetes de
servicios de red
informacin

3
4

Fallas en el sistema de
informacin prorips.

3
1

3
2

Fallos en la red LAN

Fallas en las Redes

comunicaciones.

Ataques
de Seguridad
intromisin
e lgica
ingeniera social

Cadas de
sistemas
operativos

los Software

Interrupcin
y Redes
perdida
de
comunicaciones
Estos fallos amenazan la Eliminacin
de Software
disponibilidad
e archivos
integridad
de
la Modificacin de
informacin
datos.