Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la
empresa propuesta agrupados por categorías (hardware, software, redes,
comunicaciones, seguridad física, seguridad lógica, personal del área, bases de datos, sistemas operativos, entre otros).
N Vulnerabilidad Amenazas Riesgo Categoría
° 1 Uso de software no Difusión de software Falta de actualización de Software licenciado en la dañino los antivirus, ya que son empresa copias ilegales que no permiten su actualización. 2 Adquisición de Manipulación de la Falta de actualización del Software software que no configuración sistema operativo de los tiene soporte del Fallos en el sistema equipos de cómputo que fabricante operativo tienen Windows XP, 7, 8 y 10 3 No existe proceso Accesos no No existe directivas de Seguridad de revisión de autorizados contraseñas para las lógica contraseñas cuentas de usuario 4 Falta de control de Suplantación de Se encuentran activas Seguridad cuentas de usuario identidad cuentas de usuario de lógica personal que ya no labora en la empresa. 5 No existen Desastres naturales No existen planes de Seguridad procedimientos para debido a movimiento contingencia en caso de lógica la administración de telúricos pérdidas de información la información y copias de seguridad. 6 Ausencia de planes Desastres naturales No se realizan copias de Seguridad para recuperación seguridad de manera lógica de información periódica de la información sensible en medios externos. 7 No existe control de Intercepción No se utiliza ningún Seguridad acceso a la Modificación sistema de cifrado de lógica información discos en el servidor o en los equipos 8 La información Intercepción Los sistemas de Seguridad transmitida no está Modificación información disponibles lógica cifrada o hay no cifran los datos pérdida de cuando se están información almacenando o transmitiendo 9 Falta de Errores de usuario El personal no cuenta Manejo y conocimiento de los con programas de control de usuarios en el tema capacitación y formación personal de seguridad en seguridad informática informática y de la y de la información. información 10 No existe un Control Utilización de los No existe control de Redes y monitoreo en el recursos del sistema acceso a direcciones de acceso a Internet para fines no previstos internet por parte del administrador, lo que hace insegura a la red de datos 11 Acceso no Acceso físico a los Los servidores y equipos Manejo y autorizado al área recursos del sistema del área de sistemas no control de de sistemas se encuentran bajo algún personal armario cerrado o en alguna oficina con acceso restringido. 12 No existe control de Introducción de Alteración o pérdida de Hardware los dispositivos de información falsa la información registrada almacenamiento en base (usb, cd, discos) de datos o equipos 13 Acceso no Entrada o Accesos no No se tiene Manejo y autorizado a las autorizados implementado un control de áreas restringidas sistema de identificación personal de empleados, visitantes, acompañantes y registro de visitantes. 14 Ausencia de un No establecer políticas No existe un proceso de Manejo y Sistema de Gestión y procedimientos de auditoría a la seguridad control de de Seguridad de la seguridad de la informática y de la personal Información información. información que garantice el sistema de control adecuado para la implementación de políticas y procedimientos en el Sistema de Seguridad. 15 Fuga de información Mal uso del correo Uso indebido del correo Seguridad institucional, ya que no de electrónico para el lógica se utiliza solo para envío de información a comunicación laboral. personal externo 16 Robo de información Falta de control de Falta de controles y Seguridad acceso en internet restricciones para el lógica acceso a internet. 17 Fallas en el Bajas de voltaje y poca Solo existe una ups la Hardware suministro de concientización por cual se tiene para el energía parte del personal servidor Hp Proliant administrativo. Ml110 G6, en caso de un bajón de energía, no alcanza a soportar con la conectividad de todos los computadores e impresoras multifuncionales de la empresa 18 No existe sistema de Atentados a las El empleado o trabajador Manejo y vigilancia y personal instalaciones de la puede ser una víctima control de suficiente para empresa (vandalismo) directa o indirecta de una personal vigilancia interna. agresión externa en contra de la Empresa.
19 No se hace revisión Accesos No Al no contar con VPN, no Seguridad
de virus, troyanos y autorizados al sistema analiza el tráfico por VPN lógica espías en la VPN a IPSec, L”TP, PPTP y través del uso de SSL en busca de sistema de usuario software remoto (acceso malintencionado, correo remoto) no deseado, contenidos inapropiados e intusiones. 20 No existe un firewall Accesos No La no aplicabilidad en Seguridad activo. autorizados Firewall – saber qué lógica puertos se deben bloquear o permitir, la forma de interactuar con ella o es propietario de ella, quien tiene acceso a la consola de control. 21 Falta de Fallas en la Falta de actualización y Software capacitación del configuración de los configuración adecuada personal del área equipos del equipo por parte del informática. personal del área de sistemas
22 El cableado Daños de las Algunos de los Redes
estructurado no comunicaciones. segmentos de la red se cumple con las encuentran a la normas intemperie lo que puede causar manipulación de red, daños a la red, rupturas y su transmisión de datos presentan caídas de paquetes de información. 23 No hay seguimiento No existe Detección deEl Ingeniero encargado Seguridad a los controles de intrusiones, contención la administración de los lógica seguridad del y/o eliminación. sistemas de la empresa, sistema informático no cumple con las funciones de administración de la seguridad del sistema y tampoco tiene implementados controles de seguridad por lo que se han presentado ataques al sistema 24 No se controla los No existe perfiles de Modificación sin Seguridad permisos y usuario en el sistema autorización de los lógica privilegios de los datos, o de software usuarios instalado en el sistema, incluyendo borrado de archivos.
25 Fallos en la red LAN Mala configuración de Existen fallas en la Redes
la seguridad de los seguridad y las dispositivos de red comunicaciones tales como routers, originadas por la switches. inadecuada configuración de los dispositivos de la red.
26 Fallas en los Caídas de los Ausencia de parches de Software
sistemas operativos sistemas operativos seguridad y instalados sin actualizaciones, pérdida licencia de información. 27 Uso inadecuado de la Ingreso de usuarios sin Perdida de datos, eliminación Bases de herramienta OneDrive autorización a la divulgación de archivos datos información. privados. 28 Backup no sincronizado Perdida de información en No poder recuperar los Seguridad al 100% equipos portátiles. archivos de los usuarios, ya Lógica. sea de los portátiles o carpetas compartidas. 29 Herramienta de Una mala actualización No poder decencriptar el Software. encriptación puede dañar el sistema de disco y perder la información. desactualizada McAfee encriptación. 30 No bloquear cuentas de Ingreso de personal no Robo de información y acceso Cuentas de red a tiempo, de autorizado. no autorizado. red. personas retiradas. 31 Usuarios que guardan Falla de sistema operativo Perdida de información. Base de información crítica en o disco duro. datos. los equipos. 32 Equipos conectados a Sobre voltaje de energía a Se pueden quemar los Hardware. tomas de energía no los PC. equipos por no estar regulada. conectados a una UPS. 33 Antivirus desactualizado, Virus en los equipos. Perdida de datos y fallas en el Software. punto de venta sistema operativo. minimarket. 34 Mal uso de cuenta de En caso de daños no se Con una mala manipulación, Base de red (préstamo) podría saber que usuario pueden eliminar datos. datos. fue. 35 Conexiones eléctricas no Corto circuito en el fluido Quema de equipo o incendio. Hardware. certificadas eléctrico. (extensiones). 36 Colombina es vulnerable La producción. Pérdida económica, no Producción. a robos de camiones. entrega a los clientes. 37 Colombina es vulnerable Perdida de fluido eléctrico. Caída de red y se puede parar RED. a fallas en alguno nodo. la producción. 38 Colombina es vulnerable Mala cobertura en zonas No llegar los perdidos al área Señal plan en tener mala señal en lejos de la ciudad. de Logistica, para poder hacer de datos. los Smartphone (TAT). la entrega. 39 Colombina es vulnerable En la ruta de entrega de Pérdida de mercancía, quema Seguridad a un paro en carretera. mercancías. de camiones, incumplimiento física. con los clientes. 40 Colombina es vulnerable Falla de fluido eléctrico. Descongelamiento de Materia a perdida de materiales productos, pérdida de dinero Prima. por falla de y mano de obra. enfriamiento. 41 Colombina es vulnerable Una mala maniobra con el Caída de estiva y daño en Materia a caídas de estivas en el monta carga o cal colocado productos. Prima. almacén. la estiva.