Lista de vulnerabilidades, amenazas y riesgos informticos detectados en la

empresa propuesta agrupados por categoras (hardware, software, redes,

comunicaciones, seguridad fsica, seguridad lgica, personal del rea, bases
de datos, sistemas operativos, entre otros).

Empresa: Imesur
Descripcin: Empresa enfocada en el sector biomdico especialmente en el
mantenimiento y calibracin de equipos de primer, segundo y tercer nivel en
centros de salud y hospitalarios, adems cuenta con la lnea de
mantenimiento de equipo industria e infraestructura
Ubicacin: Sede en la ciudad de Pasto-Nario.
Area de informtica: En la oficina administrativa no se cuenta con una rea de
sistemas, pero se hace uso del personal de mantenimiento de sistemas para
su mantenimiento preventivo y correctivo de estos equipos.
Cargos-personal: Jefe de mantenimiento de sistemas: Jess Rosero
Ingeniero de mantenimiento: Daro Criollo
Ingeniero de mantenimiento: Patricia Coral
Ingeniero de mantenimiento: Sthevan Naranjo
Ingeniero de mantenimiento: Marco Cchala

N Vulnerabilidad Amenazas Riesgo Categora

1 Uso de software no Instalacin de SO sin Falta de actualizacin de Software
licenciado en la licencias. los antivirus, ya que son
empresa Difusin de software copias ilegales que no
daino permiten su
actualizacin.
Problemas con las
actualizacin de fabrica
de los SO, para adquirir
mejoras y correcto
funcionamiento
2 Falta de proteccin a Fallos de proteccin de prdida o manipulacin Software
servidor de datos la informacin contable de la informacin, sin
y operativa de la posibilidad de
empresa seguimiento o
trazabilidad.
3 Uso de software Posible afectacin en Daos en SO y perdida Software
innecesario no el rendimiento del de la informacin,
permitido para el computador y posible causado por virus
funcionamiento de la ingreso de virus al
empresa sistema
4 Falta de control de Ingreso de virus al Afectacin al Seguridad
uso de dispositivos sistema, carga de funcionamiento del SO y lgica
externos de documentacin ajena a a la seguridad de la
almacenamiento la laboral informacin de la
empresa
5 Aplicaciones de El no aprovechamiento Servicio no disponible o Software
Software y utilizacin del con retrasos por
configurado potencial del correcciones.
incorrectamente aplicacin por mal
funcionamiento
6 No existe proceso de Accesos no No existe directivas de Seguridad
revisin de autorizados al sistema contraseas para las lgica
contraseas de informacin de la cuentas de usuario y
empresa cambio peridico de
estas
7 Ausencia de copias Perdida de la Perdidas econmicas e Seguridad
de seguridad o las informacin en caso intelectuales por falta de lgica
copias de seguridad de desastre, a falta de informacin histrica
quedan incompleta backup
8 Falta de control de Suplantacin de Cuentas de usuario que Seguridad
cuentas de usuario identidad y libre acceso no han sido actualizadas lgica
a los datos por el nuevo personal
9 Falta de capacitacin Utilizacin de los Confusin, danos y Seguridad
sobre seguridad activos para diligencias perdida de informacin lgica
informtica y buen no propias de la corporativa
uso de los recursos empresa
10 No existen Perdida de la No existen planes de Seguridad
protocolos de informacin por falta de contingencia en caso de lgica
proteccin contra backup externo a la prdidas de informacin y
desastres naturales oficina principal copias de seguridad.
11 No existe control y Fallos de transmisin Caida de red e Hardware
normalizacin de de datos, ocasionando inoperancia de las
ubicacin de nuevos lentitud y desconexin estaciones de trabajo
puntos de red
12 No existe proteccin Dao de los equipos Equipo electrnico Hardware
en la red elctrica en por apagones quemado, siendo
cada uno de las inesperados u subidas necesario el cambio.
estaciones de de tensin elctrica
trabajo
13 Servidor y rack de Ingreso de cualquier Perdida de informacin e redes
comunicaciones no personal que pudiera inoperatividad del
cuentan con un ocasionar alguna sistema
espacio apropiado desconexin u apagn.
14 Control de personal Como se tiene Robo de informacin o Hardware
no autorizado ausencia del cuarto de dao de la misma
sistemas, se tiene la
amenaza del ingreso
de personal malicioso
que puede ingresar al
servidor
15 El cableado Daos de las Algunos de los Redes
estructurado no comunicaciones. segmentos de la red se
cumple con las encuentran a la
normas intemperie lo que puede
causar manipulacin de
red, daos a la red,
rupturas y su transmisin
de datos presentan
cadas de paquetes de
informacin.
16 No existe un Control Utilizacin de los No existe control de Redes
y monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red de
datos