Identificacin de amenazas y vulnerabilidades.

Las vulnerabilidades son

debilidades asociadas con los activos de una organizacin. Estas debilidades pueden
ser explotadas por una amenaza causando incidentes no deseados que pueden
resultar en prdida o dao a estos activos.
La identificacin de las vulnerabilidades evidencia debilidades relacionadas con los
activos en cuanto a:
- Ambiente fsico.
- Personal, procedimientos y controles de administracin.
- Hardware, software, o equipos e instalaciones de comunicacin.
Una Amenaza tiene el potencial de causar un incidente no deseado que puede resultar
en un dao a un sistema u organizacin y sus activos. Este dao puede ocurrir de un
ataque directo o indirecto sobre la informacin de una organizacin.
Despus de identificar las amenazas y vulnerabilidades por cada tipo de activo, es
necesario tasar la probabilidad de que una combinacin de amenazas y
vulnerabilidades ocurra.
-

Amenazas deliberadas. La motivacin, las capacidades percibidas, recursos

disponibles para posibles atacantes y la percepcin de su atractivo.
Amenazas accidentales. Con qu frecuencia ocurren de acuerdo con la
experiencia, estadsticas, etc., y factores geogrficos tales como proximidad a
sitios que impliquen riesgo, en reas donde son siempre posibles condiciones
de clima extremo y factores que podran influenciar errores humanos y
malfuncionamiento de equipos.

Para la valoracin del factor o probabilidad de ocurrencia de un conjunto de amenazas

y vulnerabilidades, esto es, un escenario de riesgo, se propone un modelo de escala
que a continuacin se presenta:
Escala de valoracin del factor de ocurrencia
Nombre

Valor

Magnitud

Casi con certeza

70%-100%

Probable

30%-69%

Posible

10%-29%

Poco Probable

2%-9%

Raro

0%-1%

LISTADO DE AMENAZAS Y VULNERABILIDADES PARA EL ACTIVO INFORMACIN

Listado de amenazas y vulnerabilidades para el activo informacin electrnica
Amenazas

Prdida de Informacin

Robo o divulgacin no autorizada de

informacin crtica o sensible

Alteracin o prdida parcial de la

informacin

Vulnerabilidades
Falta de Seguridad en el intercambio de
informacin
Falta de mecanismos de respuesta a
incidentes
Esquema de Gestin de cambios
inadecuados o inexistentes
Falta de mecanismos de cifrado de datos
Falta de seguridad en el intercambio de
informacin
Falla de gestin de acceso de usuarios
Uso de datos de produccin para
propsitos de prueba
Falta de polticas de pantalla limpia y/o
bloqueo de sesin
Ausencias de auditoras y revisiones
Eliminacin de datos de forma no segura
o inadecuada
Falta de seguridad en el intercambio de
informacin
Falta
de
mecanismo
de
recuperacin/restauracin
de
la
informacin

Listado de amenazas y vulnerabilidades para el activo informacin Fsica.

Amenazas
Divulgacin no autorizada de
informacin crtica o sensible
Falsificacin / Alteracin de la
informacin

Daos accidentales o intencionales

Condiciones ambientales adversas

Vulnerabilidades
Almacenamiento de informacin de
forma no segura o inadecuada
Eliminacin de informacin de forma no
segura o inadecuada
Falta de concientizacin de los usuarios
Falta de concientizacin de los usuarios
Falta de mecanismos de proteccin de
documentos
Almacenamiento de informacin de
forma no segura o inadecuada
Falta / Deficiencia en el procedimiento de
identificacin, clasificacin y manejo de
la informacin
Mecanismos
de
intercambio
de
informacin inadecuados
Almacenamiento de informacin de
forma no segura o inadecuada
Falta / falla en copias de respaldo

LISTADO DE AMENAZAS Y VULNERABILIDADES PARA EL TIPO ACTIVO

PERSONAS.
Listado de amenazas y vulnerabilidades para el activo personas.
Amenazas
Prdida de Informacin

Coaccin / extorsin al personal

Vulnerabilidades
Hechos de corrupcin de los funcionarios
Resistencia a la cultura de seguridad
Manejo de la informacin cuando hay
rotacin del personal
Proceso
de
seleccin/revisin
insuficientes o inadecuados
Presin por superiores

Listado de amenazas y vulnerabilidades para el activo personas representadas

en terceros.
Amenazas
Coaccin al personal

Vulnerabilidades
Trabajo de terceros sin supervisin /
desconocimiento de procesos realizados

Uso no autorizado de la informacin y

los recursos

Interrupcin repentina en la
prestacin del servicio

por terceros
Revisin de procesos insuficientes o
inadecuados
Falta / falla de gestin de acceso a
usuarios externos
Ausencia de supervisin del trabajo de
terceros
Falta de auditoras en los servicios
prestados
Falta de concientizacin de terceros en la
seguridad de la informacin
Falta de un plan de continuidad del
negocio del tercero
Falta de un plan de contingencia al
interior de la informacin

LISTADO DE AMENAZAS Y VULNERABILIDADES PARA TIPO DE ACTIVO

SISTEMAS
Listado de amenazas y vulnerabilidades para el activo aplicaciones.
Amenazas

Vulnerabilidades
Falta de capacitacin del personal
Errores operacionales en la
Documentacin
de
configuracin
administracin de la aplicacin
inexistente o desactualizada
Falta de capacitacin del personal
Documentacin
inexistente
o
Errores de usuario final
desactualizada
Gestin de usuarios y privilegios
inadecuada
Ausencia de requerimientos de seguridad
Ataques informticos (virus, inyeccin en el ciclo de desarrollo o adquisicin de
SW
de cdigo, negacin de servicios,
Fallas en el proceso de gestin de
troyanos, puertas traseras, bombas
vulnerabilidades
lgicas, ataques a protocolos
conocidos, manipulacin no
Segregacin inadecuada de ambientes de
autorizada o inadecuada
produccin, pruebas y desarrollo
configuracin )
Controles de acceso de usuario no
adecuados
Fallas en el proceso de desarrollo de
software
Falta / pruebas insuficientes de copias de
respaldo
Ausencia de planes de mantenimiento de
la aplicacin
Falla de la aplicacin
Fallas en el proceso de control de
versiones
Dependencia excesiva en los proveedores
Ausencia de planes de contingencia
Falta o falla en la gestin de la capacidad
de la aplicacin
Ausencia o inadecuados esquemas de
Violacin de derechos de autor
almacenamiento de licencias

Listado de amenazas y vulnerabilidades para el activo red de comunicaciones

Amenazas

Uso inadecuado / no autorizado del

recurso (incluye cdigos maliciosos)

Daos accidentales

Falla del medio de comunicacin

Plagas (roedores y cucarachas)

Perdida de disponibilidad y/o

disminucin dela calidad de servicio

Vulnerabilidades
Ausencia / falla de planes de
contingencia
Ausencia de monitoreo sobre la red
Administracin de red inadecuada
Control
de
capacidad
para
almacenamiento
Herramientas de deteccin / prevencin
inexistentes o inadecuados
Ubicacin en sitios deficientes en
seguridad fsica
Falta o falla de polticas para el trabajo en
reas seguras
Condiciones
de
instalacin,
mantenimiento y operacin inadecuada
Uso inadecuado de estndares de
infraestructura del medio
Falta o falla de gestin de capacidad
Falta de mecanismos para control de
plagas
Falta de mantenimiento del entorno
Falta
de
auditoria
en
bloqueo/eliminacin de permisos de
acuerdo con las novedades de usuarios
Falta/falla de capacidad de usuarios
Ausencia de un mecanismo de
contingencia
Falta/falla de gestin de cambios

Listado de amenazas y vulnerabilidades para el activo tecnologa

Amenazas

Robo o prdida del hardware

Ataque informtico

Controles ambientales adversas

(polvo, temperatura, humedad)

Error operacional del personal que

administra el recurso

Falla de Hardware

Vulnerabilidades
Ubicacin en sitios deficientes en
seguridad
Falta/falla de procedimiento para el
retiro equipos
Falta / pruebas insuficientes de copias
de respaldo
Falta de seguridad en el manejo de
equipos fuera de la organizacin
Falta/Falla de concientizacin de
usuarios
Falta/Falla de gestin de herramientas
para la detencin y prevencin de
intrusos
Falta de gestin de control de cambios en
los servidores
Procedimiento de ingreso de equipos
Revisiones de auditorias
Falta/Falla de gestin de acceso de
usuarios
Ubicacin en sitios de alta contaminacin,
calor, etc.
Ausencia de elementos de control
ambiental
Falta de Mantenimiento
Falta/Desactualizacin
de
documentacin
Fallas en la gestin de configuraciones
permisivas
Falta/Fallas de capacitacin de usuarios
Falta/Falla de gestin de capacidad
Falta de mantenimiento lgico o fsico
Ausencia / Falla de planes de
contingencia
Falta de verificacin de criterios de
aceptacin de compra de componentes
Falla de mantenimiento planificado de los
elementos de soporte.
Obsolescencia de hardware
Falta
/
Gestin
inadecuada
de
herramientas de registro de auditoria

Listado de amenazas y vulnerabilidades para el activo medios removibles

Amenazas

Robo o divulgacin no autorizada de

informacin crtica o sensible

Condiciones ambientales adversas

Vulnerabilidades
Almacenamiento del medio de forma no
segura o inadecuada
Falta de mecanismos de cifrado de datos
Falta
de
procedimiento
de
desecho/reutilizacin de medios
Ausencia de controles sobre dispositivos
mviles
(Bluetooth,
telfonos
corporativos con cmara, tomas de
fotografas)
Incompatibilidad
de
medio
de
almacenamiento
Almacenamiento del medio de forma no
segura o inadecuada

Listado de amenazas y vulnerabilidades para tipo de activo estructuras

Amenazas
Desastre natural

Acceso no autorizado

Incendio

Inundacin

Acciones terroristas, vandalismo,

sabotajes, bombas, atentados o
alteraciones de orden publico

Vulnerabilidades
Proteccin fsica inadecuada
Falta de un plan de contingencia
Control de acceso inadecuado o
inexistente (registro de visitantes al
centro de cmputo)
Falla o falta de polticas de acceso a reas
seguras
Sistema de detencin y extincin de
incendios
Falta
de
mantenimiento
de
la
infraestructura de servicios
Ubicacin inadecuada de tuberas de
agua
Falta
de
mantenimiento
de
la
infraestructura de servicios
Proteccin fsica inadecuada
Falla en el procedimiento de atencin de
incidentes
Efectividad en las auditorias
Esquemas de vigilancia