Este documento identifica las principales amenazas, vulnerabilidades y riesgos relacionados con la seguridad de la información en una organización. Entre las vulnerabilidades se encuentran el almacenamiento y eliminación insegura de información, la falta de seguridad en el intercambio de información y la falta de concientización de los usuarios. Las amenazas incluyen la divulgación no autorizada, falsificación o alteración de información crítica o sensible. Los riesgos abarcan la pérdida de información debido a factores como condic
Este documento identifica las principales amenazas, vulnerabilidades y riesgos relacionados con la seguridad de la información en una organización. Entre las vulnerabilidades se encuentran el almacenamiento y eliminación insegura de información, la falta de seguridad en el intercambio de información y la falta de concientización de los usuarios. Las amenazas incluyen la divulgación no autorizada, falsificación o alteración de información crítica o sensible. Los riesgos abarcan la pérdida de información debido a factores como condic
Este documento identifica las principales amenazas, vulnerabilidades y riesgos relacionados con la seguridad de la información en una organización. Entre las vulnerabilidades se encuentran el almacenamiento y eliminación insegura de información, la falta de seguridad en el intercambio de información y la falta de concientización de los usuarios. Las amenazas incluyen la divulgación no autorizada, falsificación o alteración de información crítica o sensible. Los riesgos abarcan la pérdida de información debido a factores como condic
Almacenamiento de informacin de forma no segura o inadecuada
Eliminacin de informacin de forma no segura o inadecuada Divulgacin no autorizada de informacin Falta de seguridad en el intercambio de informacin (prdida del sobre en el que se enva y no hay crtica o sensible control de documentos) Informacin Falta de concientizacin de los usuarios Falsificacin / alteracin de la informacin Falta de mecanismos para evitar la falsificacin de documentos Almacenamiento de informacin de forma no segura o inadecuada Condiciones ambientales adversas Falta / falla en copias de respaldo (fsicas o lgicas) Hechos de corrupcin de los funcionarios Resistencia a la cultura de seguridad de la informacion (cuano hay crisis se pasa por encima de la Prdida de Informacin seguridad, seleccin de prioridades) Manejo de la informacin cuando hay rotacin de personal Deficiencias en el proceso de reclutamiento de personal Personas Insuficiente entrenamiento al personal Reclutamiento y capacitacin Uso incorrecto de hardware o software Falta de conciencia en seguridad Falta de polticas para el adecuado uso de los recursos informticos Interrupcin repentina en la prestacin del Falta de un plan de continuidad del negocio del tercero servicio Falta de un plan de continuidad al interior de la organizacin Falta de capacitacin del personal (que administra la aplicacin) Documentacin de configuracin inexistente o desactualizada Errores operacionales en la Disposicin o reso de medios de almacenamiento sin el borrado apropiado administracin de la aplicacin Falta de pista de auditoria Aplicacin de procesos a datos incorrectos (debido al tiempo o corte) Incorrecta definicin de parmetros Ausencia de requerimientos de seguridad en el ciclo de desarrollo o adquisicin de SW Ataques informaticos (virus, inyeccin de Falta de mecanismos de identificacin y autenticacin cdigo, negacin de servcios troyanos, Tablas de passwords no protegidas Sistemas y puertas traseras, bombas lgicas, Inapropiada administracin de Passwords Aplicaciones ataques a protocolos conocidos, Falta / falla de gestin de acceso de usuarios manipulacion no autorizada o inadecuada Falta de gestin de control de cambios (auditoras o monitoreo de cambios de configuracin no de la configuracin) autorizados)
Fallas en el proceso de desarrollo de software (definicin de requerimientos, esquemas de pruebas
formales, etc.) Ausencia de planes de mantenimiento de la aplicacin Falla de la aplicacin Fallas en el proceso de control de versiones Dependencia excesiva en los proveedores Ausencia / falla de planes de contingencia Ausencia / falla de planes de contingencia Ausencia de monitoreo sobre la red Uso inadecuado / no autorizado del Falta de identificacin y autenticacin de emisores o receptores de datos recurso (incluye cdigos maliciosos) Transferencia de claves en texto plano Conexin a redes publicas desprotegidas Red de Herramientas de deteccin / prevencin inexistentes o inadecuadas comunicacio Condiciones de instalacin, mantenimiento y operacin inadecuada nes Uso inadecuado de estndares de infraestructura del medio Falta de pruebas en el envo y recepcin de mensajes Falla del medio de comunicacin Lneas de comunicacin desprotegidas Deficiencias de cableado Puntos nicos de fallo Ubicacin en sitios de alta contaminacin, calor, etc. Condiciones ambientales adversas (polvo, Susceptibilidad a variaciones de voltaje temperatura, humedad) Susceptibilidad a variaciones de temperatura Falta de mantenimiento Falta / desactualizacin de documentacin Falta de control sobre copias de respaldo Hardware Errores operacional del personal que Falta de medidas de proteccin fsica administra el recurso Falta de esquemas de reemplazo peridico Ineficiente control de cambios de configuracin Falta / falla de capacitacin de usuarios Ausencia / falla de planes de contingencia Falla del hardware Falla de mantenimiento planificado de los elementos de soporte (AA, UPS, etc.) Obsolescencia del hardware Proteccin fsica inadecuada Desastre natural Falta de un plan de continuidad Incendio Sistema de deteccin y extincin de incendio inadecuado Estructuras Falta de mantenimiento de la infraestructura de servicios Inundacin Ubicacin inadecuada de tuberas de agua Ausencia de fluido elctrico Suministro elctrico inestable