AUDITORIA DE SISTEMAS

ACTIVIDAD:
FASE 2 – FASE DE PLANEACIÓN DE LA AUDITORÍA

GRUPO:
90168_43

TUTOR:
FRANCISCO NICOLAS SOLARTE

BERNABE SANCHEZ LENIS

COD: 16460502

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD

SANTIAGO DE CALI – VALLE

SEPTIEMBRE DE 2018
vulnerabilidades, amenazas y riesgos en la Empresa de Servicios Públicos de
Yumbo ESPY S.A. ESP

Recurso
No Vulnerabilidad Amenazas Riesgo Categoría
informático
El personal no
Falta de
cuenta con
conocimiento
programas de
de los usuarios Manejo y
Errores de capacitación y Bases de
1 en el tema de control de
usuario formación en datos
seguridad personal
seguridad
informática y de
informática y de la
la información
información.
No existe control de
Utilización
acceso a
No existe un de los
direcciones de Bases de
Control y recursos
internet por parte datos y
2 monitoreo en el del sistema Redes
del administrador, sistemas de
acceso a para fines
lo que hace información
Internet no
insegura a la red de
previstos
datos
Los servidores y
Acceso no Acceso equipos del área de
Manejo y
autorizado al físico a los Data-Center no se
3 control de Servidores
área de recursos encuentran bajo
personal
sistemas del sistema alguna oficina con
acceso restringido.
No existe
Alteración o
control de los
Introducció pérdida de la
dispositivos de Archivos
n de información
4 almacenamient Hardware digitales de
información registrada en
o (USB, cd, información
falsa equipos de
discos
computo
externos)
No se tiene
implementado un
sistema de
Acceso no
Entrada o identificación de Manejo y
autorizado a las Equipos de
5 Accesos no empleados, control de
áreas computo
autorizados visitantes, personal
restringidas
acompañantes y
registro de
visitantes.
 No existe un
proceso de
auditoría a la
No
seguridad
establecer
informática y de la
Ausencia de un políticas y
información que
Sistema de procedimie Manejo y Sistemas
garantice el
6 Gestión de ntos de control de de
sistema de control
Seguridad de la seguridad personal información
adecuado para la
Información de la
implementación de
información
políticas y
.
procedimientos en
el Sistema de
Seguridad.
Falta de Falta de controles y Bases de
control de restricciones para Seguridad datos y
7 Hacking
acceso en el acceso a lógica sistemas de
internet internet. información
Solo existe una
UPS para el Data-
Center y un área de
Fallas en el Servidores
Bajas de la entidad, en caso
8 suministro de Hardware y equipos
voltaje de un bajón de
energía de computo
energía, no está
soportado el resto
de las áreas
No existe Atentados El empleado o
sistema de a las trabajador puede
vigilancia y instalacione ser una víctima Manejo y Trabajadore
9 personal s de la directa o indirecta control de s y equipos
suficiente para empresa de una agresión personal de computo
vigilancia (vandalism externa en contra
interna. o) de la Empresa.
La no aplicabilidad
en Firewall – saber
qué puertos se
deben bloquear o Bases de
Accesos
No existe un permitir, la forma Seguridad datos y
10 No
firewall activo. de interactuar con lógica sistemas de
autorizados
ella o es propietario información
de ella, quien tiene
acceso a la consola
de control.
 La red de datos
esta implementada
El cableado Daños de con cableado
estructurado no las estructurado Equipos de
11 Redes
cumple con las comunicaci categoría 5E por lo computo
normas ones. que presentan
caídas de paquetes
de información.
Navegación libre y
sin control en
No existe
No se controla internet ocupando
categorizac
el ancho de ancho de banda Seguridad Equipos de
12 ión de
banda en inadecuado lógica computo
usuario en
internet ralentizando la
la red
navegación en
internet
El aire
Recalenta
acondicionado Riesgo de bloqueo
13 miento de Hardware Servidores
del data-Center y caída del sistema
equipos
es deficiente
Falta de
extintores
Daños en el
14 adecuados Incendio Hardware Servidores
Hardware
para el área de
Data-Center
No cuenta con Atentado El empleado y/o la
Personal y
un sistema de contra los entidad pueden ser
15 Hardware equipos de
cámaras de activos de víctimas directas de
computo
vigilancia la entidad un hurto