Teniendo en cuanta la información recolectada la lista de vulnerabilidades,

amenazas y riesgos informáticos detectados en la empresa UDF Unidad

dermatologica de fototerapia agrupados por categorías (hardware, software,
redes, comunicaciones, seguridad física, seguridad lógica, personal del área,
bases de datos, sistemas operativos, entre otros). Son los siguientes:

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Software que ya no Manipulación de la Falta de actualización Software
tiene soporte del configuración del sistema operativo de
fabricante Fallos en el sistema los equipos de cómputo
operativo que tienen Windows XP,
7, 8 y 10
2 No existe proceso de Accesos no No existe directivas de Seguridad
revisión de autorizados contraseñas para las lógica
contraseñas cuentas de usuario
3 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
personal que ya no
labora en la empresa.
4 No existe control de Intercepción No se utiliza ningún Seguridad
acceso a la Modificación sistema de cifrado de lógica
información discos en el servidor o en
los equipos
5 La información Intercepción Los sistemas de Seguridad
transmitida no está Modificación información disponibles lógica
cifrada o hay pérdida no cifran los datos
de información cuando se están
almacenando o
transmitiendo
6 Falta de conocimiento Errores de usuario El personal no cuenta Manejo y
de los usuarios en el con programas de control de
tema de seguridad capacitación y formación personal
informática y de la en seguridad informática
información y de la información.
7 No existe un Control y Utilización de los No existe control de Redes
monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red de
datos
8 Acceso no autorizado Acceso físico a los Los servidores y equipos Manejo y
al área de sistemas recursos del sistema del área de sistemas no control de
se encuentran bajo algún personal
armario cerrado o en
 alguna oficina con
acceso restringido.
9 No existe control de Introducción de Alteración o pérdida de la Hardware
los dispositivos de información falsa información registrada
almacenamiento en base
(usb, cd, discos) de datos o equipos
10 Acceso no autorizado Entrada o Accesos no No se tiene Manejo y
a las áreas autorizados implementado un control de
restringidas sistema de identificación personal
de empleados,
visitantes,
acompañantes y registro
de visitantes.
11 Ausencia de un No establecer políticas No existe un proceso de Manejo y
Sistema de Gestión y procedimientos de auditoría a la seguridad control de
de Seguridad de la seguridad de la informática y de la personal
Información información. información que
garantice el sistema de
control adecuado para la
implementación de
políticas y
procedimientos en el
Sistema de Seguridad.
12 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el lógica
acceso a internet.
13 Fallas en el suministro Bajas de voltaje y poca Solo existe una ups la Hardware
de energía y falta de concientización por cual se tiene para el 2
estándares parte del personal servidores Hp Proliant
adecuados administrativo. Ml110 G6, Lenovo en
caso de un bajón de
energía, no alcanza a
soportar con la
conectividad de todos los
computadores e
impresoras
multifuncionales de la
empresa
14 No existe sistema de Atentados a las El empleado o trabajador Manejo y
vigilancia y personal instalaciones de la puede ser una víctima control de
suficiente para empresa (vandalismo) directa o indirecta de una personal
vigilancia interna. agresión externa en
contra de la Empresa.

15 El cableado Daños de las Algunos de los Redes

estructurado no comunicaciones. segmentos de la red se
 cumple con las encuentran a la
normas intemperie lo que puede
causar manipulación de
red, daños a la red,
rupturas y su transmisión
de datos presentan
caídas de paquetes de
información.
16 No hay seguimiento a No existe Detección de El Ingeniero encargado Seguridad
los controles de intrusiones, la administración de los lógica
seguridad del sistema contención y/o sistemas de la empresa,
informático eliminación. no cumple con las
funciones de
administración de la
seguridad del sistema y
tampoco tiene
implementados controles
de seguridad por lo que
se han presentado
ataques al sistema
17 No se controla los No existe perfiles de Modificación sin Seguridad
permisos y privilegios usuario en el sistema autorización de los lógica
de los usuarios datos, o de software
instalado en el sistema,
incluyendo borrado de
archivos.

18 Fallos en la red LAN Mala configuración de Existen fallas en la Redes

la seguridad de los seguridad y las
dispositivos de red comunicaciones
tales como routers, originadas por la
switches. inadecuada
configuración de los
dispositivos de la red.