UNIVERSIDAD PRIVADA DE TACNA

MatrizparaelAnlisisdeRiesgo Introduccin La Matriz, que basa en una hoja de clculo; no dar un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de informacin) de la institucin, sino una mirada aproximadaygeneralizadadeestos. Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daos de cada recurso de una institucin contra todas las posibles amenazas, es decir terminaramos con un sinnmerodegrafosderiesgoquedeberamosanalizaryclasificar. EntoncesloquesepretendeconelenfoquedelaMatrizeslocalizaryvisualizarlosrecursosde unaorganizacin,queestnmsenpeligrodesufrirundaoporalgnimpactonegativo,para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superacin de lasvulnerabilidadesylareduccindelasamenazas. FundamentodelaMatriz LaMatrizsebasaenelmtododeAnlisisdeRiesgoconungrafoderiesgo,usandolaformula Riesgo=ProbabilidaddeAmenazaxMagnituddeDao LaProbabilidaddeAmenazayMagnituddeDaopuedentomarlosvaloresycondiciones respectivamente

1=Insignificante(incluidoNinguna) 2=Baja 3=Mediana 4=Alta

ElRiesgo,queeselproductodelamultiplicacinProbabilidaddeAmenazaporMagnitudde Dao,estagrupadoentresrangos,yparasumejorvisualizacin,seaplicadiferentescolores.

BajoRiesgo=16(verde) MedioRiesgo=89(amarillo) AltoRiesgo=1216(rojo)

AuditoradeSistemasdeInformacinPgina1de4

UNIVERSIDAD PRIVADA DE TACNA

UsodelaMatriz LaMatrizverdaderasebasaenunarchivoExcelconvariashojasdeclculoquesuperanel tamaodeunasimplepantalladeunmonitor.Entoncesporrazonesdemostrativas,enlas siguientesimgenessolomostraremosunafraccindeella. La Matriz contiene una coleccin de diferentes Amenazas (campos verdes) y Elementos de informacin (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Dao (campos amarillas)porcadaElementodeInformacin.

Para la estimacin de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) est relacionado con el recurso ms vulnerable de los elementos de informacin, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos puedan robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todava con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarn una porttil, que est en la oficina (con gran probabilidad se van a llevarla), o si robarn un documento que est encerrado en una caja fuerteescondido(esmenosprobablequesevanallevarestedocumento). Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunosriesgossaldrndemasiado altos), algo que posteriormentetendremosquecorregirlo. Sin embargo, excluir algunos resultados falsos todava es mucho ms rpido y barato, que hacer un anlisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgosmsgraves. En el caso de que se determine los valores para la Probabilidad de Amenaza y Magnitud de Dao a travs de un proceso participativo de trabajo en grupo (grande), se recomienda primero llenar las fichas de apoyo para los Elementos de Informacin y Probabilidad de Amenaza,yunavezconsolidadolosdatos,llenarlamatriz. Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Dao, la Matriz calculaelproductodeambosvariablesyvisualizaelgradoderiesgo.
AuditoradeSistemasdeInformacinPgina2de4

UNIVERSIDAD PRIVADA DE TACNA

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de informacin de sufrir un dao significativo, causado por unaamenaza,sinotambinsobrelasmedidasdeproteccinnecesarias

ProtegerlosdatosdeRR.HH,Finanzascontravirus ProtegerlosdatosdeFinanzasyelCoordinadorcontrarobo Evitarquesecompartanlascontraseasdelosporttiles

Tambin, como se mencion anteriormente, existen combinaciones que no necesariamente tienenmuchosentidoyportantonoselasconsideraparadefinirmedidasdeproteccin

ProtegerelPersonal(CoordinadoryPersonaltcnico)contraVirusdecomputacin EvitarlafaltadecorrienteparaelCoordinador

ElementosdelaMatriz LaMatrizsebasaenunahojadeclculo. LaMatrizestcompuestapor6hojas

1_Datos: Es la hoja para valorar el riesgo para los Elementos de Informacin Datos e Informaciones, llenando los campos Magnitud de Dao y Probabilidad de Amenaza conforme a sus valores estimados (solo estn permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo se aplica en est hoja, porque las dems hojas, hacen referencia a estos. Los tres campos de Clasificacin (Confidencial,Obligacinporley, Costo derecuperacin)notienen ningnefecto sobre el resultado de riesgo y no necesariamente tiene que ser llenados. Sin embargo pueden ser usados como campos de apoyo, para justificar o subrayar el valor de Magnitud de Dao estimado. En caso de usarlo, hay que marcar los campos respectivos con una x (cualquier combinacin de los campos est permitido, todos marcados,todosvacosetc.).

AuditoradeSistemasdeInformacinPgina3de4

UNIVERSIDAD PRIVADA DE TACNA

2_Sistemas: Es la hoja para valorar el riesgo para los Elementos de Informacin Sistemas e Infraestructura. Hay que llenar solo los valores de Magnitud de Dao, debido a que los valores de Probabilidad de Amenaza estn copiados automticamente desde la hoja 1_Datos. Igual como en 1_Datos, los tres campos de Clasificacin (Acceso exclusivo, Acceso ilimitado, Costo de recuperacin) otra vez no tienen ningn efecto sobre el resultado de riesgo y solo sirven como campo de apoyo. 3_Personal: Es la hoja para valorar el riesgo para los Elementos de Informacin Personal. Igual como en 2_Sistemas, solo hay que llenar los valores de Magnitud deDao.Otravez,lostrescamposdeClasificacin(Imagenpblica,Perfilmedio, Perfilbajo)solosirvencomocampodeapoyo. Anlisis_Promedio: Esta hoja muestra el promedio aritmtico de los diferentes riesgos, en relacin con los diferentes grupos de amenazas y daos. La idea de esta hoja es ilustrar, en que grupo (combinacin de Probabilidad de Amenaza y Magnitud deDao)haymayoromenorpeligro.Nohaynadaquellenarenestahoja. Anlisis_Factores: Esta hoja tiene el mismo propsito como la hoja Anlisis_Promedio, con la diferencia que esta vez el promedio aritmtico de los grupos est mostrado en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Dao. La lnea amarilla muestra el traspaso de la zona Bajo Riesgo a MedianoRiesgoyla lnearoja,eltraspasodeMediano riesgoaAltoRiesgo.La ideade esta hoja es ilustrar el nivel de peligro por grupo y la influencia de cada factor (Probabilidaddeamenaza,MagnituddeDao). Fuente:Estahojaseusasoloparaladefinicindealgunosvaloresgeneralesdela matriz.

AdaptacindelaMatrizalasnecesidadesindividuales La Matriz trabaja con una coleccin de diferentes Amenazas y Elementos de informacin. Ambas colecciones solo representan una aproximacin a la situacin comn de una organizacin, pero no necesariamente reflejan la realidad de una organizacin especfica. EntoncessihaynecesidaddeadaptarlaMatrizalasituacinrealdeunaorganizacin,solohay queajustarlosvaloresdelasAmenazasenlahoja1_Datos(soloenesta)ylosElementosde informacinensuhojacorrespondiente.Peroojo,sihayque insertar,quitarfilasocolumnas, se recomienda hacerlo con mucho cuidado, debido a que se corre el peligro de introducir erroresenlapresentacinyelclculodelosresultados.

AuditoradeSistemasdeInformacinPgina4de4