N° Vulnerabilidad Amenazas Riesgo Categoría

1 Falta de actualización de Difusión de software Uso de software Software

los antivirus, ya que son dañino no licenciado
copias ilegales que no
permiten su actualización.
2 Falta de actualización del Manipulación de la Adquisición de Software
sistema operativo de los configuración software que no
equipos de cómputo que Difusión de software tiene soporte del
tienen Windows XP dañino fabricante
Fallos en el sistema
operativo
3 No existe directivas de Accesos no autorizados No existe Seguridad
contraseñas para las proceso de lógica
cuentas de usuario revisión de
contraseñas
4 Se encuentran activas Suplantación de Errores en la Seguridad
cuentas de usuario de identidad desactivación de lógica
personal que ya no labora cuentas de
en la empresa. usuario
5 No existen planes de Desastres naturales No contar con Seguridad
contingencia en caso de procedimientos lógica
pérdidas de información. para la
administración
de la información
6 No se realizan copias de Desastres naturales Ausencia de Seguridad
seguridad de manera planes para lógica
periódica de los recursos recuperación de
críticos. información
7 No se utiliza ningún Intercepción Acceso no Seguridad
sistema de cifrado de Modificación autorizado a la lógica
discos en el servidor o en información
los equipos
8 Los sistemas de Intercepción Alteración o Seguridad
información disponibles no Modificación pérdida de lógica
cifran los datos cuando se información
están almacenando o
transmitiendo
9 Falta de conocimiento de Errores de usuario El personal no Manejo y
los usuarios en el manejo cuenta con las control de
de herramientas actitudes y personal
computacionales y en el aptitudes
manejo de los sistemas requeridas para
informáticos existentes, no hacer uso de la
se han realizado información por
capacitaciones a los medio de los
usuarios para
 concientizarlos sobre la sistemas de
seguridad de los datos. información.
10 No existe un Control y Utilización de los Red insegura Redes
monitoreo en el acceso a recursos del sistema
Internet para fines no previstos
11 No existen políticas para la Errores de configuración Red local Redes
utilización de firewall en los insegura
equipos o en la red
12 Los servidores y equipos Acceso físico a los Acceso no Manejo y
del área de sistemas no se recursos del sistema autorizado al control de
encuentran bajo algún área de sistemas personal
armario cerrado o en
alguna oficina con acceso
restringido.
13 No existe control de los Introducción de Alteración o Hardware
dispositivos de información falsa pérdida de la
almacenamiento (usb, cd, información
discos) registrada en
base
de datos o
equipos
14 No se tiene implementado Entrada o Accesos no Acceso no Manejo y
un sistema de autorizados autorizado a las control de
identificación de áreas personal
empleados, visitantes, restringidas
acompañantes y registro
de visitantes.
15 El servidor Web está Manipulación de la Versiones de Software
utilizando una versión PHP configuración software
desactualizada desactualizadas
16 Falencia en cuanto a las No establecer políticas Ausencia de un Manejo y
políticas de la de seguridad de la Sistema de control de
implementación del información. Gestión de personal
Sistema de Seguridad. Seguridad de la
Información
17 Uso indebido del correo de La mala utilización del Fuga de Seguridad
electrónico correo, ya que no se información lógica
utiliza solo para
comunicación laboral.
18 Falta de controles para el Falta de precaución y Robo de Seguridad
acceso a internet. control de acceso información lógica

19 Solo existe una ups la cual Bajas de voltaje y poca Fallas en el Hardware
se tiene para el servidor Hp concientización por parte suministro de
Proliant Ml110 G6, en caso energía
 de un bajón de energía, no del personal
alcanza a soportar con la administrativo.
conectividad de todos los
computadores e
impresoras
multifuncionales de la
empresa
20 La prestación de servicio El trabajador externo Atentados a las Manejo y
de un agente de una puede ser una víctima instalaciones de control de
empresa externa, esta incógnita, indirecta y la empresa personal
esporádica y solo cuando presencial a una (vandalismo)
se requiera del servicio de agresión externa en
este. contra de la Empresa.
21 VPN y el uso de sistema de Al no contar con VPN, no Accesos No Seguridad
usuario remoto (acceso analiza el tráfico por VPN autorizados al lógica
remoto): debe ser revisado IPSec, L”TP, PPTP y sistema
en busca de virus / SSL en busca de
troyanos / puertas traseras. software
malintencionado, correo
no deseado, contenidos
inapropiados e
intusiones.
22 No existe un firewall. La no aplicabilidad en Accesos No Seguridad
Firewall – saber qué autorizados lógica
puertos se deben
bloquear o permitir, la
forma de interactuar con
ella o es propietario de
ella, quien tiene acceso a
la consola de control.

23 El uso no aceptable de Concientizar al personal Uso indebido de Hardware

hardware, tales como no usar módems de dispositivos
módems. Internet personal sin un personales
firewall. externos para
lucro propio
24 Falta de actualización y Falta de concientización Fallas en la Software
configuración adecuada y de programación de las configuración de
del equipo, lo que no podría mismas por parte de los equipos
realizarse con efectividad personal de sistemas.
sino se cuenta con un
sistema original
25 El cableado estructurado La manipulación de esta Daños de las Redes
de la red se encuentra a la red presenta daños, comunicaciones.
intemperie rupturas y su transmisión
 de datos suelen
presentar varias caídas
de paquetes de
información.
26 No hay seguimiento a los El Ingeniero encargado No existe Seguridad
controles de seguridad del la administración de los Detección de lógica
sistema informático sistemas de la empresa, intrusiones,
debe realizar estos contención y/o
controles y al no contar eliminación.
con los controles de
seguridad se pueden
presentar muchos
ataques
27 Falta definición y Al no tener las directivas
Accesos Físicos Seguridad
delimitación de las áreas de usuarios en el ilimitados a las física
de cada integrante. servidor. áreas
restringidas de la
empresa
28 Falta de controles en la Utilización de los Falta de Sistema Seguridad
seguridad del sistema recursos del sistema Detección de lógica
informático para fines no previstos; Intrusiones
Como defensivos y no
ofensivos.
29 Aumento de privilegios Ejecución de código Modificación Seguridad
malicioso y o desautorizada de lógica
modificación de archivos los datos, o de
software
instalado en el
sistema,
incluyendo
borrado de
archivos.

30 Fallos en la red LAN Mala configuración que Fallas en las Redes

compromete la seguridad comunicaciones.
de las empresas al
instalar routers, switches
y otros equipos de red sin
las ramificaciones de
seguridad de cada
dispositivo.
31 No existen contraseñas de Control de acceso. Ataques de Seguridad
acceso a los equipos Recolección de intromisión e lógica
información revisando ingeniería social
los archivos que puedan
 estar en la computadora,
hackers.
32 Fallas en los sistemas Ausencia de parches de Caídas de los Software
operativos instalados seguridad y sistemas
actualizaciones, pérdida operativos
de información.
No utilización de
software licenciado.
33 Falta de seguridad de los Perdida de paquetes de Interrupción y Redes
servicios de red información perdida de
comunicaciones
34 Fallas en el sistema de Estos fallos amenazan la Eliminación de Software
información prorips. disponibilidad e archivos
integridad de la Modificación de
información datos.

Fghdfgafdgfgh

Fgghfgjhgfjhsgfhgs

Gsgfjhsgfjhsgfhsg

Fghgfgjhsgfjhsgfjhsdg