Teniendo en cuanta la información recolectada la lista de vulnerabilidades,
amenazas y riesgos informáticos detectados en la empresa UDF Unidad
dermatologica de fototerapia agrupados por categorías (hardware, software, redes, comunicaciones, seguridad física, seguridad lógica, personal del área, bases de datos, sistemas operativos, entre otros). Son los siguientes:
N° Vulnerabilidad Amenazas Riesgo Categoría
1 Software que ya no Manipulación de la Falta de actualización Software tiene soporte del configuración del sistema operativo de fabricante Fallos en el sistema los equipos de cómputo operativo que tienen Windows XP, 7, 8 y 10 2 No existe proceso de Accesos no No existe directivas de Seguridad revisión de autorizados contraseñas para las lógica contraseñas cuentas de usuario 3 Falta de control de Suplantación de Se encuentran activas Seguridad cuentas de usuario identidad cuentas de usuario de lógica personal que ya no labora en la empresa. 4 No existe control de Intercepción No se utiliza ningún Seguridad acceso a la Modificación sistema de cifrado de lógica información discos en el servidor o en los equipos 5 La información Intercepción Los sistemas de Seguridad transmitida no está Modificación información disponibles lógica cifrada o hay pérdida no cifran los datos de información cuando se están almacenando o transmitiendo 6 Falta de conocimiento Errores de usuario El personal no cuenta Manejo y de los usuarios en el con programas de control de tema de seguridad capacitación y formación personal informática y de la en seguridad informática información y de la información. 7 No existe un Control y Utilización de los No existe control de Redes monitoreo en el recursos del sistema acceso a direcciones de acceso a Internet para fines no previstos internet por parte del administrador, lo que hace insegura a la red de datos 8 Acceso no autorizado Acceso físico a los Los servidores y equipos Manejo y al área de sistemas recursos del sistema del área de sistemas no control de se encuentran bajo algún personal armario cerrado o en alguna oficina con acceso restringido. 9 No existe control de Introducción de Alteración o pérdida de la Hardware los dispositivos de información falsa información registrada almacenamiento en base (usb, cd, discos) de datos o equipos 10 Acceso no autorizado Entrada o Accesos no No se tiene Manejo y a las áreas autorizados implementado un control de restringidas sistema de identificación personal de empleados, visitantes, acompañantes y registro de visitantes. 11 Ausencia de un No establecer políticas No existe un proceso de Manejo y Sistema de Gestión y procedimientos de auditoría a la seguridad control de de Seguridad de la seguridad de la informática y de la personal Información información. información que garantice el sistema de control adecuado para la implementación de políticas y procedimientos en el Sistema de Seguridad. 12 Robo de información Falta de control de Falta de controles y Seguridad acceso en internet restricciones para el lógica acceso a internet. 13 Fallas en el suministro Bajas de voltaje y poca Solo existe una ups la Hardware de energía y falta de concientización por cual se tiene para el 2 estándares parte del personal servidores Hp Proliant adecuados administrativo. Ml110 G6, Lenovo en caso de un bajón de energía, no alcanza a soportar con la conectividad de todos los computadores e impresoras multifuncionales de la empresa 14 No existe sistema de Atentados a las El empleado o trabajador Manejo y vigilancia y personal instalaciones de la puede ser una víctima control de suficiente para empresa (vandalismo) directa o indirecta de una personal vigilancia interna. agresión externa en contra de la Empresa.
15 El cableado Daños de las Algunos de los Redes
estructurado no comunicaciones. segmentos de la red se cumple con las encuentran a la normas intemperie lo que puede causar manipulación de red, daños a la red, rupturas y su transmisión de datos presentan caídas de paquetes de información. 16 No hay seguimiento a No existe Detección de El Ingeniero encargado Seguridad los controles de intrusiones, la administración de los lógica seguridad del sistema contención y/o sistemas de la empresa, informático eliminación. no cumple con las funciones de administración de la seguridad del sistema y tampoco tiene implementados controles de seguridad por lo que se han presentado ataques al sistema 17 No se controla los No existe perfiles de Modificación sin Seguridad permisos y privilegios usuario en el sistema autorización de los lógica de los usuarios datos, o de software instalado en el sistema, incluyendo borrado de archivos.
18 Fallos en la red LAN Mala configuración de Existen fallas en la Redes
la seguridad de los seguridad y las dispositivos de red comunicaciones tales como routers, originadas por la switches. inadecuada configuración de los dispositivos de la red.