CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALV

LOGO IDENTIFICACIÓN DE VULNERABILIDADES Y AMENA

CHECKLIST
EMPRESA: Universidad Cooperativa de Colombia Sede Arauca
FUNCIONARIO:
CARGO:
Nº PREGUNTAS SI NO
FISICA
¿Está n las instalaciones del data center protegidas de acceso no autorizado?
1 1

¿Cuá l de los siguientes controles físicos aplican para las instalaciones del
2 cuarto de telecomunicaciones?
a)      Perímetro de seguridad definido 1
b)      Sistema de detecció n de intrusos 1
c)       Puertas de seguridad con sistema de acceso 1
d)      Otro (especifíquelo en la casilla de observaciones)
1
3 ¿Cuá l de los siguientes controles físicos aplican para acceder al Á rea de TI?

a)      Carnet de Identificació n 1

b)      Registro de visitantes 1
c)       Otro (especifíquelo en la casilla de observaciones) 1
4 ¿La instalació n donde está ubicado el cuarto de telecomunicaciones cuenta con
condiciones físicas adecuadas de acuerdo a la norma?
a)      Paredes 1

b)      Piso 1
c)       Techo 1
5 ¿Cuá les de las siguientes medidas contra incendios tienen implementadas?

a)      Alarma 1
b)      Extintores 1
c)       Sistema contra incendios 1
d)      Otro (especifíquelo en la casilla de observaciones) 1
6 ¿El Sistema de Cableado Estructurado está diseñ ado e instalado cumpliendo 1
las normas internacionales vigentes?
7 ¿Tienen documentado el diseñ o de la red? 1
8 ¿Tienen establecido controles para llevar a cabo el mantenimiento preventivo
y correctivo de los equipos de la empresa? 1

9 ¿Se tiene establecido controles para llevar a cabo el mantenimiento de las

instalaciones donde se encuentra ubicado el cuarto de telecomunicaciones? 1

RED
10 ¿Se tiene determinado quienes comparten los datos a través de la red y como 1
los utilizan?
11 ¿Se tienen documentados y/o actualizados los inventarios de activos físico y
ló gicos de la red? 1

12 ¿Son documentadas las fallas y/o problemas que ocurren en la red? 1

13 ¿Existen controles definidos de acceso a la red interna? 1
14 ¿Cuenta con un dispositivo firewall para protecció n y aseguramiento de la red?
1
SOFTWARE
15 ¿Los equipos de có mputo cuentan con Antivirus actualizados? 1
16 ¿Las aplicaciones instaladas en el servidor de BD está n debidamente
actualizadas? 1
17 ¿Se monitorea constantemente el rendimiento y el acceso a los servidores?
1
18 ¿Son guardados de manera segura los datos sensibles de los equipos antes de 1
una reinstalació n?

19 ¿Los datos que viajan por intranet está n cifrados? 1

ORGANIZACIÓN
20 ¿Existe un departamento o dependencia que se dedique a la administració n de
la red y los servicios de TI? 1

21 ¿Existe una estructura orgá nica para dicha Á rea con sus correspondientes
funciones? 1
22 ¿El nú mero de personas que constituyen actualmente el Á rea de TI son 1
suficientes para controlar los diferentes procesos de TI?

23 ¿Existe un plan de capacitació n para el personal del Á rea de TI en aspectos

relacionados con las TIC y procesos de certificació n? 1
24 ¿Está n claramente definidas las responsabilidades del recurso humano para
proteger los activos así como la ejecució n del proceso de seguridad? 1

25 ¿Existen políticas de seguridad actualizadas? 1

26 ¿Las políticas de seguridad está n debidamente socializadas con el personal de
la empresa? 1
27 ¿Para ser movidos los equipos, software o informació n fuera de las
instalaciones requiere de una autorizació n? 1

15 12
AMENAZAS Y SALVAGUARDAS
BILIDADES Y AMENAZAS
ST

Fecha:
NA OBSERVACIONES

El acceso al personal no está

restringido debidamente.

Existe una puerta, pero no hay

restricció n para el acceso al area.

El cuerto cuena con ventanas, lo

cual infringe la norma
No cuenta con piso falso

El cableado no cumple con las

normas
parcialmente

Mensualmente
No se tiene documentado los
usuarios de red

Parcialmente

No se tiene en cuenta la seguridad

como se debe

area de TI

Solo existen 3 personas en el area

de TI, las cuales no son suficientes
para la totalidad del personal
 CARACTERIZACIÓN DE ACTIVOS, AMENAZA
LOGO IDENTIFICACIÓN DE VULNERABILIDADES
ANALISIS DE RIESGOS
EMPRESA:
FUNCIONARIO:
CARGO:
ITEM ACTIVO VULNERABILIDADES P.E.
El cuarto de telecomunicaciones no está
protegido del acceso de personas no
Cuarto de autorizadas.
1 4
telecomunicaciones

Cuarto de No se tiene establec ido Controles físicos de

2 telecomunicaciones acceso al cuarto de telecomunicaciones 4
Humedad 4
Servidor principal,
4 servidor backup, Electricidad está tica 3
servidor espejo Polvo 3
Inexistencia de un sistema que reduzca el
Sensor contra incendios nivel de dañ o en caso de un incendio 4
Dificultad para la localizació n de dañ os 3
Red de datos, red Interferencias en la transmisió n de datos
6 inalambrica, INTRANET 3
Dificultad para el mantenimiento de la red 3
Dificultad para identificar puntos exactos en
7 Red de datos caso de ocurrir dañ os en la red 3
El mantenimiento de los equipos no se realice
8 en el momento requerido 2
servidores y pc Acumulació n de partículas dañ inas
9 2

10 redes No se monitorea el trá fico de la red 3

Inventario no tiene la informació n completa
11 todos los activos fisicos de algunos de los activos informaticos de la 2
empresa

Inexistencia de un registro de fallas de la red

12 redes 2

La LAN no está segmentada

13 Red de datos 4
Fá cil acceso al sistema
14 servidores 3
 Los equipos no tienen Antivirus actualizados
15 servidores y pc 2
Software de base de datos desactualizado
16 bases de datos 2

Desconocimiento del rendimiento de los

servidores 2
17 servidores
No se cuenta con un registro de acceso a los
servidores 2
No se hacen copia de los datos antes de una
18 servidores y pc reinstalació n 2
No se cuenta con un sistema de cifrado para
19 servidores e intranet proteger la informació n que se transporta por 3
intranet
No se administra eficazmente los procesos de
20 encargado ti TI 3
No se tiene una distribució n de
21 personal responsabilidades 2
No se cuenta con el personal suficiente para
22 personal controlar los distintos procesos 4
No se capacita al personal del á rea de TI en
23 personal tecnologías de la informació n y la 2
comunicació n y procesos de certificació n
No se tiene establecidas las responsabilidades
24 encargado ti del personal para la protecció n de los activos 2

No está n actualizadas las políticas de

25 encargado ti seguridad 2

No se socializa las políticas de seguridad con

26 encargado ti el personal de la empresa 2
Los activos son sacados facilmente de las
27 todos los activos fisicos instalaciones de la empresa 4
ÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS
ACIÓN DE VULNERABILIDADES Y AMENAZAS
ANALISIS DE RIESGOS

FECHA:
AMENAZAS P.O. TOTAL
Robo de informació n 3 12
Dañ os a los equipos 4 16
Intrusió n de software malicioso 4 16
Manipulació n de la informació n 4 16
Acceso de personal no autorizado
4 16
Se genere un corto circuito 4 16
Dañ os a los equipos 3 9
Disminuye rendimiento de los equipos 4 12

Perdida de informació n 4 16

4 12
Perdida de informació n 4 12
4 12
Paralizació n de actividades
4 12
Fallos en los equipos
2 4
Disminuye el rendimiento de los equipos 2 4
Se genere un corto circuito 2 4
Intrusos obtengan y mantengan acceso a la red 3 9
Perdida de los activos
2 4

No se minimiza la posibilidad de que los sucesos

ocurridos anteriormente se vuelvan a generar. 2 4

No se controla el acceso de usuarios no autorizados

4 16
Robo de informació n 3 9
Destrucció n de la informació n 4 12
Interrupció n del funcionamiento del sistema 4 12
Intrusió n de software malicioso
4 8
Intrusos 3 6
Software malicioso 4 8
Mal funcionamiento de los servidores
2 4
hacker
3 6
Perdida de la informació n
2 4
Intercepció n de informació n confidencial
4 12

Bajo rendimiento de las operaciones de la empresa

3 9
Nadie se hace responsable por los dañ os
ocasionados 2 4
Deficiente funcionamiento de los procesos de la
empresa 4 16
Los procesos de la empresa no se desarrolla
eficientemente 3 6

Los activos está n propensos a sufrir dañ os

3 6

No se contralan adecuadamente los distintos

sucesos que afectan los equipos y la informació n 3 6

No se protegen los activos de la informació n

3 6
Extracció n de informació n confidencial 4 16
Robo del activo 4 16
 CARACTERIZACIÓN DE ACTIVOS, AMENAZA
LOGO IDENTIFICACIÓN DE VULNERABILIDADES
ANALISIS DE RIESGOS
EMPRESA:
FUNCIONARIO:
CARGO:
ITEM ACTIVO VULNERABILIDADES P.E.
El cuarto de telecomunicaciones no está
protegido del acceso de personas no
Cuarto de autorizadas.
1 4
telecomunicaciones

Cuarto de No se tiene establec ido Controles físicos de

2 telecomunicaciones acceso al cuarto de telecomunicaciones 4
Humedad 4
Servidor principal,
3 servidor backup, Electricidad está tica 3
servidor espejo Polvo 3
Inexistencia de un sistema que reduzca el
4 Sensor contra incendios nivel de dañ o en caso de un incendio 4
Dificultad para la localizació n de dañ os 3
Red de datos, red Interferencias en la transmisió n de datos
5 inalambrica, INTRANET 3
Dificultad para el mantenimiento de la red 3
Dificultad para identificar puntos exactos en
6 Red de datos caso de ocurrir dañ os en la red 3
La LAN no está segmentada
7 Red de datos 4
Fá cil acceso al sistema
8 servidores 3

No se cuenta con un sistema de cifrado para

9 servidores e intranet proteger la informació n que se transporta por 3
intranet
No se cuenta con el personal suficiente para
10 personal controlar los distintos procesos 4
Los activos son sacados facilmente de las
11 todos los activos fisicos instalaciones de la empresa 4
ÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS
ACIÓN DE VULNERABILIDADES Y AMENAZAS
ANALISIS DE RIESGOS

FECHA:
AMENAZAS P.O. TOTAL
Robo de informació n 3 12
Dañ os a los equipos 4 16
Intrusió n de software malicioso 4 16
Manipulació n de la informació n 4 16
Acceso de personal no autorizado
4 16
Se genere un corto circuito 4 16
Dañ os a los equipos 3 9
Disminuye rendimiento de los equipos 4 12

Perdida de informació n 4 16

4 12
Perdida de informació n 4 12
4 12
Paralizació n de actividades
4 12
No se controla el acceso de usuarios no autorizados
4 16
Robo de informació n 3 9
Destrucció n de la informació n 4 12
Interrupció n del funcionamiento del sistema 4 12
Intercepció n de informació n confidencial
4 12

Deficiente funcionamiento de los procesos de la

empresa 4 16
Extracció n de informació n confidencial 4 16
Robo del activo 4 16
Medio RiesgoBajo Riesgo Alto Riesgo
6 14 19

15%

49% M
B
A
36%
15%

Medio Riesgo
Bajo Riesgo
Alto Riesgo
36%