Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en

la empresa propuesta agrupados por categorías (hardware, software,

redes, comunicaciones, seguridad física, seguridad lógica, personal del
área, bases de datos, sistemas operativos, entre otros).

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Falta de Errores de Falta de capacitación Manejo y
capacitación en usuario a los demás usuarios control del
manejo de los del sistema. Cuando personal
servidores. el encargado de la
administración de los
servidores no se
encuentra disponible
y sucede una
urgencia, es
necesario ingresar
en probar e intentar
solucionar los
inconvenientes.
2 No existe planes Falla en el Los servidores Hardware
para recuperación hardware HDD cuentan con un solo
de la información disco duro y al fallar
genera interrupción
del servicio.
3 Falta de Polvo El ambiente en el Seguridad
mantenimiento al que se encuentran física
hardware los servidores en
(Limpieza) armarios cerrados
pero no tienen
acceso restringido y
tienen una corriente
de aire considerable.
4 Fallas en el Apagones Cada equipo y Equipos de
suministro de servidor, cuenta con protección
energía UPS. Pero el tiempo eléctrica
es limitado. Y al
apagarse mal el
Linux CentOS,
ocasionando
demoras para
restaurar el servicio.
5 No existe planes Incendio Al encontrarse en un Seguridad
para recuperación edificio de oficinas y física
de la información cerca del área de
cafetería de la
misma, el riesgo de
incendio es alto (Uso
de micro ondas)
6 No existe planes Falla en el En el edificio se Hardware
para recuperación hardware Fuente presentan bajones
de la información de energía eléctrica,
razón por la cual
fallan las fuentes de
los servidores.
7 Falta revisión y Manejo Al realizar proyectos Seguridad
cambio de inadecuado de colaborativos con lógica
accesos a la VPN datos críticos varios profesionales,
y RDP se dan accesos por
VPN y RDP y no se
controla el cambio en
los mismos.
8 Falta de Ausencia de No existen manuales Seguridad
capacitación documentación para la ejecución de lógica
las distintas tareas
en los servidores.
Solo el encargado
conoce estos
procesos.
9 Sin control al Transmisión no Existe VPN con Seguridad
acceso de la cifrada de datos transmisión cifrada lógica
información sólo para los
desarrolladores y el
manejo de FTP. Para
los usuarios clientes,
no existe cifrado.
10 Falta de Falta o tardío El manejo de los Software
capacitación proceso de servidores al estar a
actualización cargo de una sola
persona, hace que el
proceso de
actualización sea
bastante lento y/o
inexistente.
11 No existe control Infección de No existe bloqueo al Hardware
de dispositivos de unidades acceso de los
almacenamiento portables sin puertos USB.
externo escaneo
12 Falta de Manejo La fortaleza de las Seguridad
capacitación en inadecuado de contraseñas no es lógica
seguridad contraseñas verificada tanto para
informática el ingreso al servidor,
como para los
sistemas
informáticos
presentes en él.
13 Falta de Control Contraseñas Se comparten las Seguridad
de Cuentas de compartidas con contraseñas para lógica
usuario terceros acceso a
 desarrolladores que
suelen trabajar
esporádicamente y
no se tiene control de
su cambio oportuno.
14 Falta de perfiles y Robo de Al trabajar con Seguridad
restricciones en información desarrolladores por lógica
carpetas de los proyecto, es
servidores probable que este
lleve consigo
información presente
en el servidor
15 Adquisición de Virus Uno de los Software
Software servidores ser
descontinuado encuentra
virtualizado y tiene
Windows 7
Licenciada
(solicitada y usada
por el área contable).
Siendo este Sistema
Operativo más
susceptible a virus,
por falta de
actualización y
soporte por parte del
fabricante.
16 No existe portería Robo del servidor La oficina se Seguridad
y personal de encuentra en un física
vigilancia edificio de oficinas
que no cuenta con
portería ni vigilancia.
17 No existe plan de Sismo No existen plan de Seguridad
recuperación de la contingencia. Los lógica
información dos servidores se
encuentran
físicamente en el
mismo lugar.