Las vulnerabilidades encontradas para cada uno de los activos de informacin se

registran en una tabla como la que se presenta a continuacin para uno de los
servidores:

Activo TI UIT-AS-A-02 ServidorSol

Administrador Administrador de Sistemas
Tipo activo Hardware

Tipo ID Amenaza Exposicin / Vulnerabilidad

No existe sistema de alarma contra

incendios.
Desastres naturales

N1 Fuego Se posee un solo extintor de solkaflam

(Clase C) recomendados para incendios
en lugares donde se encuentren equipos
elctricos.
N2 Daos por agua

La Unidad de Informtica y
Telecomunicaciones se encuentra en
N* Desastres naturales zona media de riesgo de desastre natural
de origen volcnico debido a su cercana
con el Volcn Galeras.
No existe sistema de alarma contra
incendios.
Se posee un solo extintor de solkaflam
I1 Fuego
(Clase C) recomendados para incendios
en lugares donde se encuentren equipos
elctricos.
I2 Daos por agua
No se utilizan paneles de obturacin para
el cableado.
No existe sistema de alarma de control de
temperatura y humedad.
El sistema de aire acondicionado est
fuera de servicio.
De origen industrial

La configuracin del sistema de retorno

del aire acondicionado no es apropiada.
No existen planos, esquemas, avisos que
indiquen que hay una fuente de energa y
seales de estas mismas.
I* Desastres industriales El sistema elctrico de la unidad no
cuenta con proteccin contra
electrocucin por contacto directo o
indirecto en las reas de trabajo.
No cuentan con un sistema de proteccin
contra rayos.
No estn por separado los circuitos de la
red regulada y normal.
El sistema elctrico de la unidad no
cuenta con un proceso de certificacin de
los productos que se utilizan ni tambin de
la red elctrica.
En la sala de servidores no se realiza una
I3 Contaminacin mecnica limpieza peridica en cuanto a
contaminacin por polvo y/o suciedad.
I4 Contaminacin electromagntica Los racks no cuentan con aisladores.
 En la sala de servidores no se realiza una
I5 Avera de origen fsico o lgico limpieza peridica en cuanto a
contaminacin por polvo y/o suciedad.
Funcionamiento no confiable de las UPS.
No se utilizan paneles de obturacin para
el cableado.
No existen planos, esquemas, avisos que
indiquen que hay una fuente de energa y
seales de estas mismas.
El sistema elctrico de la unidad no
cuenta con proteccin contra
electrocucin por contacto directo o
I6 Corte del suministro elctrico
indirecto en las reas de trabajo.
No cuentan con un sistema de proteccin
contra rayos.
No estn por separado los circuitos de la
red regulada y normal.
El sistema elctrico de la unidad no
cuenta con un proceso de certificacin de
los productos que se utilizan ni tambin de
la red elctrica.
No existe sistema de alarma de control de
temperatura y humedad.
I7 Condiciones inadecuadas de temperatura o humedad Aire acondicionado fuera de servicio.
La configuracin del sistema de retorno de
aire acondicionado no es apropiada.

I11 Emanaciones electromagnticas Los racks no cuentan con aisladores.

E2 Errores del administrador Falta de conocimiento del administrador.

No existe hoja de vida del servidor SOL.

E23 Errores de mantenimiento/actualizacin de equipos
Falta de conocimiento del administrador.
E

Falta de recursos necesarios.

E24 Cadas del sistema por agotamiento de recursos Falta de planes de continuidad del
negocio
E25 Perdida de equipos
Como medida de control de acceso a la
sala de servidores en la puerta no se
cuenta con un control biomtrico, sino con
A6 Abuso de privilegios de acceso una cerradura de llave la cual no garantiza
un control de quienes tienen los privilegios
de entrar al sitio, ni manera de
identificarlos.
Para ingresar a la sala de servidores
primeramente se debe pasar por la oficina
del Administrador de Sistemas, y luego
Ataques intencionados

A7 Uso no previsto
por la oficina del Administrador de Red;
cuyos controles de ingreso son
nicamente puertas de madera con
ventanas de vidrio esmerilado, donde
cada puerta cuenta con una sola chapa de
seguridad y la llave principal la manejan
A11 Acceso no autorizado los dos administradores y todos sus
monitores a cargo.
Pruebas lgicas: Escaneo de puerto de
puerto con NMAP, identificacin de
Sistema Operativo con ZENMAP y
A23 Manipulacin de equipos XPROBE, identificacin de
vulnerabilidades de los puertos abiertos
con NETCAT.
Falta de recursos necesarios.
A24 Denegacin de servicio Falta de planes de continuidad del
negocio
Como medida de control de acceso a la
A25 Robo sala de servidores en la puerta no se
cuenta con un control biomtrico, sino con
una cerradura de llave la cual no garantiza
un control de quienes tienen los privilegios
de entrar al sitio, ni manera de
identificarlos.
Para ingresar a la sala de servidores
primeramente se debe pasar por la oficina
del Administrador de Sistemas, y luego
por la oficina del Administrador de Red
cuyos controles de ingreso son
nicamente puertas de madera con
ventanas de vidrio esmerilado, donde
cada puerta cuenta con una sola chapa de
seguridad y la llave principal la manejan
los dos administradores y todos sus
monitores a cargo.
Vigilancia compartida entre dependencias.