Amenazas o factores que

Vulnerabilidades o debilidades
puedan explotar las
N° de la empresa en informática o
vulnerabilidades existentes para
sistemas
cometer ataques

Insuficiente memoria RAM de

Pérdida de información importante
1 almacenamiento para información
por liberación de espacios.
digital.

Dificultades en la ejecución de las

2 Uso de Software sin licencia. tareas por falta de herramientas y
procedencia indefinida.

Uso de software no compatible Daño de sistemas operativos y

3
con sistemas operativos aplicaciones

Adquisición de software sin Manipulación de la configuración

4
soporte del fabricante por usuario

Recoger información sobre las

actividades de un usuario en un
computador (tendencias de
navegación), para permitir el
5 Programas espías
despliegue sin autorización en
ventanas emergentes de
propaganda de mercadeo, o para
robar información personal

Recibir o enviar archivos

6 Inexistencias de antivirus infectados, Ataque de software
dañino
Perdida de información o daño a
Inexistencia de backup de la
7 software, hardware o sistemas
información.
operativos.

No controla la cantidad de datos

que se copian en buffer, de forma
que si esa cantidad es superior a
la capacidad del buffer los bytes
8 Desbordamiento de buffer
sobrantes se almacenan en zonas
de memoria adyacentes,
sobrescribiendo su contenido
original
 Inserta o "inyecta" código SQL
9 Inyección SQL invasor dentro del código SQL
programado

Corte de energía eléctrica por

Inexistencia de planta de energía
10 fallas naturales y/o ajenas a la
ni UPS
empresa.

Daños de hardware, software,

Interrupciones frecuentes de
11 sistemas operativos y pérdida de
energía eléctrica.
información.
Se pueden presentar
12 Sabotaje, vandalismo interrupciones en los servicios
prestados

Robo de dispositivos físicos que

13 Hurto Físico y daños almacenan, procesan o
transmiten información 

Usar los puertos del PC para

Uso indebido de puertos USB y
14 intercambiar datos o conectar
otros puertos.
periféricos.

Vigencia indefinida de las Seguridad débil en el manejo de

15
contraseñas la información.

Uso no autorizado de Sistemas Acceder sin autorización a los

16
Informáticos sistemas de información
La información que se comparte
entre estaciones y fuera de la
17 Información sin cifrar
empresa se puede ver
comprometida
Políticas de seguridad deficientes
18 Divulgación de Información
o inexistentes

Forma de engañar a los usuarios

para que revelen información
19 Suplantación de identidad personal o financiera mediante un
mensaje de correo electrónico o
sitio web fraudulento

No sabrían cómo proceder ante

Inexistencia de capacitación en un evento inseguro y/o ataque
20
seguridad informática informático ya que no se cuenta
con protocolos.
 escaso conocimiento en el Daños a hardware y software por
21 manejo de las TICs y la seguridad desconocimiento del manejo en
informática. diferentes situaciones.

Inexistencia de planes de
contingencia o alarmas de Perdida de información y daños a
22
protección de hardware y software, hardware.
software.

No hay seguimiento a los No existe Detección de

23 controles de seguridad del intrusiones, contención y/o
sistema informático eliminación.

Ausencia de un Sistema de No establecer políticas y

24 Gestión de Seguridad de la procedimientos de seguridad de la
Información información.

Consumo Bebidas y/o alimentos Derrame de líquidos o periféricos

25
en el puesto de trabajo sucios
 Activos Informáticos (hardware,
redes y comunicaciones,
Riesgos donde se describa
software, personal, seguridad
específicamente como se han
física, seguridad lógica, usuarios,
presentado estos ataques o
sistema de información, sistemas
amenazas en la empresa
operativos, bases de datos,
evaluada
equipos de protección eléctrica,
otro) se están presentando

Colapso o lentitud en el
Software, bases de datos.
funcionamiento de los equipos.

Límites de servicios que brindan

el software, infección o errores al Software, seguridad informática.
ejecutarlos.

Incompatibilidad de software
Software
generando daños de sistema
Falta de actualización del sistema
operativo de los equipos de
Software
cómputo que tienen Windows 7,
plataforma única

Modificación sin autorización, de

información crítica, sin Bases de datos
conocimiento de los propietarios

Propagación de virus, pérdida

Software, seguridad lógica
parcial o total de información.

Daño de equipos, instalaciones

Hardware, seguridad física, bases
locativas o programas
de datos.
específicos.

Se puede aprovechar para

Sistema de información, usuarios,
ejecutar código que nos de
software, seguridad lógica
privilegios de administrador.
Alterar el funcionamiento normal
del programa y lograr así que se
Base de datos
ejecute la porción de código
"invasor" incrustado
Se pueden apagar los equipos
bruscamente y generar fallas en
Equipos de protección eléctrica
software o perdida de
información.
La ausencia de dispositivos
Hardware, seguridad física,
especializados para enfrentar
sistema operativo, software.
estos eventos inesperados.

Software, bases de datos,

Información errónea
comunicaciones

Descuido de los empleados y la

empresa de seguridad como las
Hardware, personal
causas fundamentales de la
pérdida del dispositivo
Mal funcionamiento de los
equipos o desconfiguraciones en Software, seguridad lógica.
los mismos.
Bases de datos, software,
Manejo de intrusos de la seguridad lógica, sistemas de
información de la empresa. información, sistemas operativos,
personal.
Destrucción de información
Usuarios, sistema de información
confidencial, perdida financiera

Quien acceda a esta información

podrá hacer uso de ella sin Seguridad lógica
restricciones.

Dar a conocer información que es

Seguridad física, Bases de datos,
confidencial de la entidad

Mensaje de correo electrónico

Seguridad lógica, usuarios,
que parece un comunicado oficial
sistema de información
de una fuente de confianza

Podrían proceder de manera Personal, seguridad física y

incorrecta buscando soluciones. lógica.
Situaciones atípicas presentadas
con los equipos que no tienen el Hardware, software, seguridad
conocimiento para proceder y lógica, sistemas de información,
afectan los equipos y su sistemas operativos.
funcionalidad.
Daño de equipos, instalaciones
locativas, equipos o programas, Hardware, seguridad física,
por falta de prever una personal.
emergencia cualquiera.

No existe persona capacitada a

cargo de los sistemas
constantemente y tampoco se
Seguridad lógica
tiene implementados controles de
seguridad por lo que se han
presentado ataques al sistema

No existe un proceso de auditoría

a la seguridad informática y de la
información de la empresa que Control del personal
promueva la seguridad
informática

Mal funcionamiento de periféricos

Hardware, Personal
o daño en los mismos.
 Activos
Informátic
os
(hardware,
redes y
comunicaci
ones,
Riesgos
software,
Amenazas donde se
personal,
o factores describa
seguridad
Vulnerabili que específica
física,
dades o puedan mente
seguridad
debilidade explotar como se
lógica,
s de la las han
N° usuarios,
empresa vulnerabili presentado
sistema de
en dades estos
información
informática existentes ataques o
, sistemas
o sistemas para amenazas
operativos,
cometer en la
bases de
ataques empresa
datos,
evaluada
equipos de
protección
eléctrica,
otro) se
están
presentand
o

Insuficiente
Pérdida de
espacio de Colapso o
información
memoria lentitud en
importante Software e
de el
1 por bases de
almacenam funcionami
liberación datos.
iento para ento de los
de
información equipos.
espacios.
digital.
 Dificultades
en la
Límites de
ejecución
servicios
de las
que
Uso de tareas con Software,
brindan el
2 Software por falta de seguridad
software,
sin licencia. herramient informática.
infección o
as y
errores al
procedenci
ejecutarlos.
a
indefinida.

Falta de
actualizaci
Uso de ón de los
software no antivirus
Ataque de
licenciado por falta de
software Software
en el conexión al
dañino
supermerc internet, ya
ado que son
copias
libres.

Daño de
Perdida de
Inexistenci equipos,
información Hardware,
a de instalacion
o daño a seguridad
backup de es
3 software, física,
la locativas o
hardware o bases de
información programas
sistemas datos.
. específicos
operativos.
.

Falla en el
Insuficienci
suministro Pérdida de Software,
a Backup
eléctrico, información seguridad
de
amenaza . lógica
información
natural
 Situaciones
atípicas
presentada
Daños a
s con los Hardware,
escaso hardware y
equipos software,
conocimien software
que no seguridad
to en el por
tienen el lógica,
manejo de desconoci
4 conocimien sistemas
las TICs y miento del
to para de
la manejo en
proceder y información
seguridad diferentes
afectan los , sistemas
informática. situaciones
equipos y operativos.
.
su
funcionalid
ad.

La
Daños de ausencia
hardware, de
Hardware,
Interrupcio software, dispositivos
seguridad
nes sistemas especializa
física,
5 frecuentes operativos dos para
sistema
de energía y pérdida enfrentar
operativo,
eléctrica. de estos
software.
información eventos
. inesperado
s.

Falla en
Daño en
sistemas Daño en
los
eléctricos los
sistemas
de sistemas
operativos
alimentació operativos
y Software
n de los y
aplicacione
computado aplicacione
s por las
res no s de los
fallas
regulado y equipos
eléctricas
regulado
 Bases de
datos,
software,
Seguridad Manejo de
Vigencia seguridad
débil en el intrusos de
indefinida lógica,
manejo de la
6 de las sistemas
la información
contraseña de
información de la
s información
. empresa.
, sistemas
operativos,
personal.

Se podría
filtrar la
contraseña
de un Un
Contraseña funcionario funcionario
Personal,
s de a otro que ha podido
usuarios,
acceso sin no cuenta acceder a
seguridad
fecha de con dichos información
lógica.
caducidad permisos y confidencia
podría l.
usarla de
mala
manera.

Daño de
Inexistenci equipos,
a de planes instalacion
de es
Perdida de
contingenci locativas, Hardware,
información
ao equipos o seguridad
7 y daños a
alarmas de programas, física,
software,
protección por falta de personal.
hardware.
de prever una
hardware y emergenci
software. a
cualquiera.

Se pueden
Software,
presentar
bases de
Sabotaje, interrupcio Informació
8 datos,
vandalismo nes en los n errónea
comunicaci
servicios
ones
prestados
 Dar a
Políticas de
conocer
Divulgación seguridad Seguridad
información
de deficientes física,
9 que es
Informació o Bases de
confidencia
n inexistente datos,
l de la
s
entidad

Forma de
engañar a
los
Mensaje de
usuarios
correo
para que
electrónico
revelen Seguridad
que parece
Suplantaci información lógica,
un
10 ón de personal o usuarios,
comunicad
identidad financiera sistema de
o oficial de
mediante información
una fuente
un mensaje
de
de correo
confianza
electrónico
o sitio web
fraudulento

Acceder
Uso no Destrucció
sin
autorizado n de
autorizació Usuarios,
de información
11 n a los sistema de
Sistemas confidencia
sistemas información
Informático l, perdida
de
s financiera
información

No se
utilizan
No existe sistemas
control de cifrado
Hurto, Seguridad
estricto de en el
rastreo, lógica
acceso a la servidor o
información en los
equipos
terminales
 No controla
la cantidad
de datos
que se
copian en
buffer, de
forma que
si esa
cantidad es Se puede
superior a aprovechar
la para Sistema de
capacidad ejecutar información
Desbordam
del buffer código que , usuarios,
12 iento de
los bytes nos de software,
buffer
sobrantes privilegios seguridad
se de lógica
almacenan administrad
en zonas or.
de
memoria
adyacentes
,
sobrescribi
endo su
contenido
original

Descuido
de los
empleados
Robo de
y la
dispositivos
empresa
físicos que
Hurto de
almacenan, Hardware,
13 Físico y seguridad
procesan o personal
daños como las
transmiten
causas
información
fundament
 
ales de la
pérdida del
dispositivo
 Recoger
información
sobre las
actividades
de un
usuario en
un
computado
r
(tendencias Modificació
de n sin
navegación autorizació
), para n, de
Programas permitir el información Bases de
14
espías despliegue crítica, sin datos
sin conocimien
autorizació to de los
n en propietario
ventanas s
emergente
s de
propagand
a de
mercadeo,
o para
robar
información
personal

Alterar el
Inserta o funcionami
"inyecta" ento
código normal del
SQL programa y
Inyección invasor lograr así Base de
15
SQL dentro del que se datos
código ejecute la
SQL porción de
programad código
o "invasor"
incrustado
 Se pueden
apagar los
Corte de
equipos
energía
bruscamen
Inexistenci eléctrica
te y Equipos de
a de planta por fallas
17 generar protección
de energía naturales
fallas en eléctrica
ni UPS y/o ajenas
software o
a la
perdida de
empresa.
información
.

No sabrían
cómo
proceder
Inexistenci ante un Podrían
a de evento proceder Personal,
capacitació inseguro de manera seguridad
18
n en y/o ataque incorrecta física y
seguridad informático buscando lógica.
informática ya que no soluciones.
se cuenta
con
protocolos.

No se
cuenta con
Los programas
usuarios de
desconoce capacitació
Errores
n el tema ny
frecuentes Control del
de la formación
de los personal
seguridad en
usuarios
informática seguridad
y de la informática
información y de la
información
.

Propagació
n de virus,
Recibir o
Inexistenci pérdida Software,
enviar
19 as de parcial o seguridad
archivos
antivirus total de lógica
infectados
información
.
 La
información
Quien
que se
acceda a
comparte
esta
entre
información
Informació estaciones Seguridad
21 podrá
n sin cifrar y fuera de lógica
hacer uso
la empresa
de ella sin
se puede
restriccione
ver
s.
compromet
ida

Mal
Usar los
Uso funcionami
puertos del
indebido de ento de los
PC para Software,
puertos equipos o
22 intercambia seguridad
USB y desconfigur
r datos o lógica.
otros aciones en
conectar
puertos. los
periféricos.
mismos.

Consumo Mal
Bebidas Derrame funcionami
y/o de líquidos ento de
Hardware,
23 alimentos o periféricos
Personal
en el periféricos o daño en
puesto de sucios los
trabajo mismos.

Falta de
actualizaci
ón del
sistema
Adquisición Manipulaci
operativo
de software ón de la
de los
25 sin soporte configuraci Software
equipos de
del ón por
cómputo
fabricante usuario
que tienen
Windows 7,
plataforma
única

26
 Uso de Daño de Incompatibi
software no sistemas lidad de
compatible operativos software
27 Software
con y generando
sistemas aplicacione daños de
operativos s sistema

No existe
persona
capacitada
a cargo de
los
sistemas
No hay No existe constantem
seguimient Detección ente y
o a los de tampoco se
controles intrusiones, tiene Seguridad
29
de contención implementa lógica
seguridad y/o dos
del sistema eliminación controles
informático . de
seguridad
por lo que
se han
presentado
ataques al
sistema

No existe
un proceso
de
auditoría a
No
Ausencia la
establecer
de un seguridad
políticas y
Sistema de informática
procedimie
Gestión de y de la Control del
31 ntos de
Seguridad información personal
seguridad
de la de la
de la
Informació empresa
información
n que
.
promueva
la
seguridad
informática