FASE 2

PLANEACION DE AUDITORIA

GUSTAVO ADOLFO MAMBUSCAY

CÓDIGO: 1061773709
CARLOS ANDRES RAMIREZ
WHILMER RAUL FERNANDEZ

No. DE GRUPO: 90168_37

NOMBRE TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA EN SISTEMAS
OCTUBRE 2018
N° VULNERABILIDAD AMENAZAS RIESGOS CATEGORÍA
1 Red de datos Se encuentra Colapso de la Infraestructura
obsoleta desorganizada y red y deficiencia
en partes en la prestación
desprotegida del servicio lo
haciendo que significaría
vulnerable la demandas a la
información que organización.
pasa a través de
esta
2 Cuarto de Es aquí donde En cualquier fallo Infraestructura
Servidores no está concluyen gran es difícil dar con
bien adecuado para cantidad de una solución
este tipo de servicio terminales de las rápida además
diferentes zonas se puede perder
del edificio información
algunas no de valiosa.
fácil
identificación,
además no se
cuenta con un
servidor espejo
en otro lugar,
para dar soporte
a la sede
principal.
3 Información no Se encuentra No se cuenta Infraestructura,
centralizada demasiados con información Software
motores de base precisa por la
de datos, en redundancia de
diferentes la misma en
servidores en diferentes
ocasiones con la motores de bd.
misma
información.
4 Red Eléctrica La red eléctrica Se corre el Infraestructura
deteriorada antigua y riesgo de
añadida por pérdida de
retazos. equipos por los
 bajones de
energía.
5 Servidores antiguos Servidores que Hay que falle en Infraestructura,
y sin ya cumplieron su cualquier Mesa de
mantenimiento ciclo de vida aun momento y se ayuda
con información afecte la calidad
valiosa para la del servicio.
organización
6 No hay un plan En caso de falla Hay riesgo de Infraestructura
riguroso en cuanto de algún servidor perder
a copias de se pierde la información
seguridad. información ahí valiosa para la
contenida organización
7 Fallo de seguridad Fácil acceso En estos fallos Infraestructura,
en el control de atreves de vpn a hay riegos de Software
accesos prohibidos acceso no daño de equipos
autorizados y hakeo de
como Facebook información.
,por lo cual se
descargan virus
de internet
8 Fallo en seguridad Pueden hacer En este caso hay Infraestructura,
en servidor de ataques y riego acceso a Software
dominio y cuentas acceder a información
de correo. información sensible para la
confidencial organización
además no se
cuenta con
servidor de
respaldo en
cuanto a copias
de los correos
9 No hay implementa No hay política Hay riesgo de Dirección
una política seria que regule la demandas Sistemas.
en cuanto al información contra la
manejo de la personal que es organización a
Información captada por la no manejar bien
personal Habeas organización. la información
Data personal de las
personas
afiliadas.
10 Sistemas de Mala calidad de Hay riesgo de Software
Información datos ya que se manipular
obsoletos que no manipulan información.
garantizan la manualmente los
calidad del dato motores de bd
11 Falta de control de Documentación Afectación al Seguridad
dispositivos ajena, posibles sistema
externos de amenazas de operativo(SO)
almacenamiento. virus.
12 Uso de software no Afectación en el Daños del Software
necesario. rendimiento del sistema
computador con operativo (SO).
posible ingreso
de virus.
13 Software Amenazas de Daño en el Seguridad en
desactualizado. virus. sistema el Software.
operativo (SO).
14 Software mal Pueden fallar los Caída de la red. Software.
configurado. equipos de
cómputo.
15 Mantenimiento red Telarañas y Ambiente en el Seguridad del
al hardware. polvo. que se Hardware
encuentra los
computadores ya
que es en un
zona rural.
16 Comportamientos y Robo o hurto de Se encuentra en Seguridad.
conductas. los una zona rural y
computadores. apartada de las
viviendas.
17 Falta de hardware Se puede parar Pérdida Hardware.
o hardware la sala de económica y de
dañado. internet credibilidad.
18 Mala ubicación de Ausencia de Pérdida Ubicación.
la sala de internet. clientes . económica.
19 Ubicación en un Perdida de Descarga Ubicación.
alto equipos de eléctrica.
cómputo y
ausencia de
clientes.
20 Red eléctrica Daño de los Cortocircuito. Seguridad del
antigua. computadores. hardware.
21 Falta de Errores de Falta de Manejo y
capacitación en usuario capacitación a control del
manejo de los los demás personal
servidores. usuarios del
sistema. Cuando
el encargado de
la administración
de los servidores
no se encuentra
 disponible y
sucede una
urgencia, es
necesario
ingresar en
probar e intentar
solucionar los
inconvenientes.
22 No existe planes Falla en el Los servidores Hardware
para recuperación hardware HDD cuentan con un
de la información solo disco duro y
al fallar genera
interrupción del
servicio.
23 Falta de Polvo El ambiente en el Seguridad
mantenimiento al que se física
hardware encuentran los
(Limpieza) servidores en
armarios
cerrados pero no
tienen acceso
restringido y
tienen una
corriente de aire
considerable.
24 Fallas en el Apagones Cada equipo y Equipos de
suministro de servidor, cuenta protección
energía con UPS. Pero el eléctrica
tiempo es
limitado. Y al
apagarse mal el
Linux CentOS,
ocasionando
demoras para
restaurar el
servicio.
25 No existe planes Incendio Al encontrarse Seguridad
para recuperación en un edificio de física
de la información oficinas y cerca
del área de
cafetería de la
misma, el riesgo
de incendio es
alto (Uso de
micro ondas)
26 No existe planes Falla en el En el edificio se Hardware
para recuperación hardware Fuente presentan
de la información bajones de
energía eléctrica,
razón por la cual
fallan las fuentes
de los
servidores.
27 Falta revisión y Manejo Al realizar Seguridad
cambio de accesos inadecuado de proyectos lógica
a la VPN y RDP datos críticos colaborativos
con varios
profesionales, se
dan accesos por
VPN y RDP y no
se controla el
cambio en los
mismos.
28 Falta de Ausencia de No existen Seguridad
capacitación documentación manuales para la lógica
ejecución de las
distintas tareas
en los
servidores. Solo
el encargado
conoce estos
procesos.
29 Sin control al Transmisión no Existe VPN con Seguridad
acceso de la cifrada de datos transmisión lógica
información cifrada sólo para
los
desarrolladores y
el manejo de
FTP. Para los
usuarios clientes,
no existe cifrado.
30 Falta de Falta o tardío El manejo de los Software
capacitación proceso de servidores al
actualización estar a cargo de
una sola
persona, hace
que el proceso
de actualización
sea bastante
lento y/o
inexistente.
31 No existe control de Infección de No existe Hardware
dispositivos de unidades bloqueo al
almacenamiento portables sin acceso de los
externo escaneo puertos USB.
32 Falta de Manejo La fortaleza de Seguridad
capacitación en inadecuado de las contraseñas lógica
seguridad contraseñas no es verificada
informática tanto para el
ingreso al
servidor, como
para los sistemas
informáticos
presentes en él.
33 Falta de Control de Contraseñas Se comparten las Seguridad
Cuentas de usuario compartidas con contraseñas para lógica
terceros acceso a
desarrolladores
que suelen
trabajar
esporádicamente
y no se tiene
control de su
cambio oportuno.
34 Falta de perfiles y Robo de Al trabajar con Seguridad
restricciones en información desarrolladores lógica
carpetas de los por proyecto, es
servidores probable que
este lleve
consigo
información
presente en el
servidor
35 Adquisición de Virus Uno de los Software
Software servidores ser
descontinuado encuentra
virtualizado y
tiene Windows 7
Licenciada
(solicitada y
usada por el área
contable).
Siendo este
Sistema
Operativo más
susceptible a
virus, por falta de
 actualización y
soporte por parte
del fabricante.
36 No existe portería y Robo del servidor La oficina se Seguridad
personal de encuentra en un física
vigilancia edificio de
oficinas que no
cuenta con
portería ni
vigilancia.
37 No existe plan de Sismo No existen plan Seguridad
recuperación de la de contingencia. lógica
información Los dos
servidores se
encuentran
físicamente en el
mismo lugar.
38 Falta determinar que Entrada al sistema La publicación de Seguridad
sólo se otorgarán los sin restricción información a la informática
privilegios necesarios que podían
para realizar las acceder más
tareas. personas de las
deseadas.

39 Falta de revisión de Robo o pérdida de Los empleados Seguridad

de acceso de los información del podrían enviar informática
usuarios con personal documentos
regularidad. importantes a la
persona
equivocada
40 No dispone de Afectación en la Se puede Seguridad
ningún sistema para seguridad de la presentar errores informática
supervisar las información por parte del
actividades de los personal interno o
usuarios internos con de un mal uso del
privilegios. acceso con
privilegios

41 No se cuenta con un Un Sus empleados Seguridad

servidor con dominio almacenamiento almacenan informática
propio. de datos información
confidenciales de confidencial en
forma poco lugares difíciles de
segura. proteger (por
ejemplo, servicios
 de
almacenamiento
en la nube, como
Dropbox, o
memorias USB,
que a menudo se
pierden, se roban
o se llevan fuera
de la oficina de
forma
intencionada).

42 Falta de actualización Error u omisión en El sistema no Seguridad

del sistema operativo la detección de detecta una informática
una amenaza posible amenaza y
puede perder toda
la información o
provocar un daño
físico al equipo.

43 No hay restricción o Política de puertas Robos daños y Seguridad física

modo de abiertas. afectación a la
identificación para estructura, bienes
entrar a la sede. e integridad del
personal
44 Falta de UPS o planta Cuando se corte el Podría dañar el Seguridad
eléctrica de suministro de contenido física
emergencia. energía,los informático
equipos y la red
deja de funcionar
inmediatamente
45 Falta de Sobrecarga Al conectar una Equipos de
mantenimiento y eléctrica cantidad protección
cambio de desmedida de eléctrica
reguladores aparatos a la
instalación;
exigiendo por
encima de la
capacidad para la
que fue diseñado
46 Dependencia de un La producción Cuando no se Seguridad lógica
agente externo para académica está paga la
el manejo y gestión manejada por mensualidad del
de de la información agentes terceros contrato se ve
 académica y afecta la gestión
administrativa de la de la información
institución interna
47 Falta de acciones que Catástrofes o No se realizan Seguridad lógica
ayuden a la calamidades. copias de
recuperación de la seguridad de
información manera periódica
de la información
48 Falta de capacitación Error en los Falta de
del personal del área procesos configuración en
informática. los equipo.
49 Falta de capacidad en Lentitud en los Robo de la señal Hardware
los servidores procesos recibida por el
internos procesador de
una
computadora
originándose la
interrupción del
servicio.
50 Falta de parches en la Virus La falta de Software
navegadores web actualización de
los parches de
seguridad puede
generar
suplantación de la
URL o están
expuestos a virus
52 Falta de monitoreo Robo de La apropiación de Seguridad
constante de sus credenciales un hacker de los informática
redes para detectar datos de inicio de
actividades inusuales sesión a sus
Servicios en la
Nube.
53 Deficiencia en el Falla en el Falla en el Seguridad física
mantenimiento del cableado, esquema de
sistema de redes enrutadores y redes,
conectores presentando
principales interrupción en la
interferencia de
los datos