FORMATO DE IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES

CARACTERIZACIÓN DE ACTIVOS,
AMENAZAS Y
SALVAGUARDAS
IDENTIFICACIÓN DE VULNERABILIDADES Y
AMENAZAS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
ITEM VULNERABILIDADES AMENAZAS
Robo de información
Daños a los equipos
El cuarto de telecomunicaciones no
1 Intrusión de software
está protegido del acceso de personas malicioso
no autorizadas. Manipulación de la
Si esta protegido información
No se tiene establecido Controles
Acceso de personal
físicos de acceso al cuarto
2 no autorizado
de telecomunicaciones
No se tiene establecido Controles Acceso de personal no
3
físicos de acceso al área de TI autorizado
se atiende al publico
Humedad no hay humedad Se genere un corto circuito
Electricidad estática Daños a los equipos
4 anteriormente cuando habian equipos
clones hace ya 15 años
se debia a la arquitectura d elos
equipos ya con los equipos nuevos no
sucede
Disminuye rendimiento de
Polvo los
equipos
Obstáculo para reaccionar de manera Daño parcial o total de los
eficaz ante incidentes ocasionados equipos
5 Inexistencia de un sistema que
reduzca Perdida de información
el nivel de daño en caso de un
incendio
Dificultad para la localización de
6 daños Perdida de información
Interferencias en la transmisión de
datos
Dificultad para el mantenimiento de
la
red
Dificultad para identificar puntos
exactos en caso de ocurrir daños
7 Paralización de actividades
en la red
El mantenimiento de los equipos no
8 se Fallos en los equipos
realice en el momento requerido
Disminuye el rendimiento de
9 Acumulación de partículas dañinas los equipos
Se genere un corto circuito
Intrusos obtengan y
10 No se monitorea el tráfico de la red mantengan
acceso a la red
Inventario no tiene la información
completa de algunos de los activos
11 Perdida de los activos
informáticos de la empresa
No se minimiza la
posibilidad de que los
12 Inexistencia de un registro de fallas
sucesos ocurridos
de la red
anteriormente se vuelvan a
generar.
No se controla el acceso de
13 La LAN no está segmentada
usuarios no autorizados
Robo de información
 Destrucción de la
información
14 Fácil acceso al sistema Interrupción del
funcionamiento del sistema
Los equipos no tienen Antivirus
15 Intrusión de software
actualizados malicioso
Software de base de datos Intrusos
16
desactualizado Software malicioso
Desconocimiento del rendimiento de Mal funcionamiento de los
17
los servidores servidores
No se cuenta con un registro de
acceso hacker
a los servidores
No se hacen copia de los datos antes
18 de Perdida de la información
una reinstalación
No se cuenta con un sistema de
Intercepción de
cifrado para proteger la información
19 información confidencial
que se
transporta por intranet
No se administra eficazmente los Bajo rendimiento de las
20
procesos de TI operaciones de la empresa
No se tiene una distribución de Nadie se hace responsable
21 por
responsabilidades
los daños ocasionados
No se cuenta con el personal Deficiente funcionamiento
22 suficiente de
para controlar los distintos procesos los procesos de la empresa
No se capacita al personal del área
de TI en tecnologías de la
Los procesos de la empresa
23 información y la comunicación y
no se desarrolla
procesos de
eficientemente
certificación
 No se tiene establecidas las
Los activos están propensos
responsabilidades del personal
24 a sufrir daños
para la
protección de los activos
No se contralan
adecuadamente los distintos
25 No están actualizadas las políticas de
sucesos que afectan los
seguridad
equipos y la
información
No se socializa las políticas de No se protegen los activos de
26 la
seguridad con el personal de la
empresa información
Extracción de información
Los activos son sacados fácilmente
confidencial
27 de las instalaciones de la empresa
Robo del activo