Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la

empresa propuesta agrupados por categorías (hardware, software, redes,

comunicaciones, seguridad física, seguridad lógica, personal del área, bases
de datos, sistemas operativos, entre otros).

N Vulnerabilidad Amenazas Riesgo Categoría

°
1 Uso de software no Difusión de software Falta de actualización de Software
licenciado en la dañino los antivirus, ya que son
empresa copias ilegales que no
permiten su
actualización.
2 Adquisición de Manipulación de la Falta de actualización del Software
software que no configuración sistema operativo de los
tiene soporte del Fallos en el sistema equipos de cómputo que
fabricante operativo tienen Windows XP, 7, 8
y 10
3 No existe proceso Accesos no No existe directivas de Seguridad
de revisión de autorizados contraseñas para las lógica
contraseñas cuentas de usuario
4 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
personal que ya no
labora en la empresa.
5 No existen Desastres naturales No existen planes de Seguridad
procedimientos para debido a movimiento contingencia en caso de lógica
la administración de telúricos pérdidas de información
la información y copias de seguridad.
6 Ausencia de planes Desastres naturales No se realizan copias de Seguridad
para recuperación seguridad de manera lógica
de información periódica de la
información sensible en
medios externos.
7 No existe control de Intercepción No se utiliza ningún Seguridad
acceso a la Modificación sistema de cifrado de lógica
información discos en el servidor o
en los equipos
8 La información Intercepción Los sistemas de Seguridad
transmitida no está Modificación información disponibles lógica
cifrada o hay no cifran los datos
pérdida de cuando se están
información almacenando o
transmitiendo
9 Falta de Errores de usuario El personal no cuenta Manejo y
conocimiento de los con programas de control de
usuarios en el tema capacitación y formación personal
 de seguridad en seguridad informática
informática y de la y de la información.
información
10 No existe un Control Utilización de los No existe control de Redes
y monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red de
datos
11 Acceso no Acceso físico a los Los servidores y equipos Manejo y
autorizado al área recursos del sistema del área de sistemas no control de
de sistemas se encuentran bajo algún personal
armario cerrado o en
alguna oficina con
acceso restringido.
12 No existe control de Introducción de Alteración o pérdida de Hardware
los dispositivos de información falsa la información registrada
almacenamiento en base
(usb, cd, discos) de datos o equipos
13 Acceso no Entrada o Accesos no No se tiene Manejo y
autorizado a las autorizados implementado un control de
áreas restringidas sistema de identificación personal
de empleados, visitantes,
acompañantes y registro
de visitantes.
14 Ausencia de un No establecer políticas No existe un proceso de Manejo y
Sistema de Gestión y procedimientos de auditoría a la seguridad control de
de Seguridad de la seguridad de la informática y de la personal
Información información. información que
garantice el sistema de
control adecuado para la
implementación de
políticas y
procedimientos en el
Sistema de Seguridad.
15 Fuga de información Mal uso del correo Uso indebido del correo Seguridad
institucional, ya que no de electrónico para el lógica
se utiliza solo para envío de información a
comunicación laboral. personal externo
16 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el lógica
acceso a internet.
17 Fallas en el Bajas de voltaje y poca Solo existe una ups la Hardware
suministro de concientización por cual se tiene para el
energía parte del personal servidor Hp Proliant
administrativo. Ml110 G6, en caso de un
 bajón de energía, no
alcanza a soportar con la
conectividad de todos los
computadores e
impresoras
multifuncionales de la
empresa
18 No existe sistema de Atentados a las El empleado o trabajador Manejo y
vigilancia y personal instalaciones de la puede ser una víctima control de
suficiente para empresa (vandalismo) directa o indirecta de una personal
vigilancia interna. agresión externa en
contra de la Empresa.

19 No se hace revisión Accesos No Al no contar con VPN, no Seguridad

de virus, troyanos y autorizados al sistema analiza el tráfico por VPN lógica
espías en la VPN a IPSec, L”TP, PPTP y
través del uso de SSL en busca de
sistema de usuario software
remoto (acceso malintencionado, correo
remoto) no deseado, contenidos
inapropiados e
intusiones.
20 No existe un firewall Accesos No La no aplicabilidad en Seguridad
activo. autorizados Firewall – saber qué lógica
puertos se deben
bloquear o permitir, la
forma de interactuar con
ella o es propietario de
ella, quien tiene acceso a
la consola de control.
21 Falta de Fallas en la Falta de actualización y Software
capacitación del configuración de los configuración adecuada
personal del área equipos del equipo por parte del
informática. personal del área de
sistemas

22 El cableado Daños de las Algunos de los Redes

estructurado no comunicaciones. segmentos de la red se
cumple con las encuentran a la
normas intemperie lo que puede
causar manipulación de
red, daños a la red,
rupturas y su transmisión
de datos presentan
caídas de paquetes de
información.
23 No hay seguimiento No existe Detección deEl Ingeniero encargado Seguridad
a los controles de intrusiones, contención
la administración de los lógica
seguridad del y/o eliminación. sistemas de la empresa,
sistema informático no cumple con las
funciones de
administración de la
seguridad del sistema y
tampoco tiene
implementados controles
de seguridad por lo que
se han presentado
ataques al sistema
24 No se controla los No existe perfiles de Modificación sin Seguridad
permisos y usuario en el sistema autorización de los lógica
privilegios de los datos, o de software
usuarios instalado en el sistema,
incluyendo borrado de
archivos.

25 Fallos en la red LAN Mala configuración de Existen fallas en la Redes

la seguridad de los seguridad y las
dispositivos de red comunicaciones
tales como routers, originadas por la
switches. inadecuada
configuración de los
dispositivos de la red.

26 Fallas en los Caídas de los Ausencia de parches de Software

sistemas operativos sistemas operativos seguridad y
instalados sin actualizaciones, pérdida
licencia de información.
27 Uso inadecuado de la Ingreso de usuarios sin Perdida de datos, eliminación Bases de
herramienta OneDrive autorización a la divulgación de archivos datos
información. privados.
28 Backup no sincronizado Perdida de información en No poder recuperar los Seguridad
al 100% equipos portátiles. archivos de los usuarios, ya Lógica.
sea de los portátiles o
carpetas compartidas.
29 Herramienta de Una mala actualización No poder decencriptar el Software.
encriptación puede dañar el sistema de disco y perder la información.
desactualizada McAfee encriptación.
30 No bloquear cuentas de Ingreso de personal no Robo de información y acceso Cuentas de
red a tiempo, de autorizado. no autorizado. red.
personas retiradas.
31 Usuarios que guardan Falla de sistema operativo Perdida de información. Base de
información crítica en o disco duro. datos.
los equipos.
32 Equipos conectados a Sobre voltaje de energía a Se pueden quemar los Hardware.
tomas de energía no los PC. equipos por no estar
regulada. conectados a una UPS.
33 Antivirus desactualizado, Virus en los equipos. Perdida de datos y fallas en el Software.
punto de venta sistema operativo.
minimarket.
34 Mal uso de cuenta de En caso de daños no se Con una mala manipulación, Base de
red (préstamo) podría saber que usuario pueden eliminar datos. datos.
fue.
35 Conexiones eléctricas no Corto circuito en el fluido Quema de equipo o incendio. Hardware.
certificadas eléctrico.
(extensiones).
36 Colombina es vulnerable La producción. Pérdida económica, no Producción.
a robos de camiones. entrega a los clientes.
37 Colombina es vulnerable Perdida de fluido eléctrico. Caída de red y se puede parar RED.
a fallas en alguno nodo. la producción.
38 Colombina es vulnerable Mala cobertura en zonas No llegar los perdidos al área Señal plan
en tener mala señal en lejos de la ciudad. de Logistica, para poder hacer de datos.
los Smartphone (TAT). la entrega.
39 Colombina es vulnerable En la ruta de entrega de Pérdida de mercancía, quema Seguridad
a un paro en carretera. mercancías. de camiones, incumplimiento física.
con los clientes.
40 Colombina es vulnerable Falla de fluido eléctrico. Descongelamiento de Materia
a perdida de materiales productos, pérdida de dinero Prima.
por falla de y mano de obra.
enfriamiento.
41 Colombina es vulnerable Una mala maniobra con el Caída de estiva y daño en Materia
a caídas de estivas en el monta carga o cal colocado productos. Prima.
almacén. la estiva.