MATRIZ DE RIESGOS

A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como:

Riesgo: al evento, el cual es incierto y tiene un impacto negativo. También se puede definir como la posibilidad de sufrir un daño por la exposición a un peligro.

Peligro: es la fuente del riesgo y se refiere a una substancia o a una acción que puede causar daño. 

Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a las áreas de TI, estableciendo cómo puede ejecutarse el análisis.Un ejemplo de esto, puede ser el siguiente:

Análisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.

El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.

Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

 Visto desde el punto de vista del impacto y probabilidad del riesgo, tenemos lo siguiente:

 Visto desde los planes de actuación que se requieren para su control, tenemos lo siguiente:

Visto desde la respuesta requerida de acuerdo a la clasificación del riesgo, tenemos lo siguiente: (imagen  recovered from Institucion Universitaria de Envigado, Oct 2016)

Limitantes del análisis de riesgo

Posiblemente una de las principales razones por las cuales los problemas de seguridad informática no han sido resueltos es la aparición repentina de nuevas amenazas. Como un ejemplo de esto es la evolución del malware: los virus altamente nocivos y de amplia difusión han dado lugar a botnets furtivos, de difícil detección y

dirigidos a objetivos específicos.

Precisamente una de las debilidades de las metodologías de análisis de riesgo es que parten de una visión estática de las amenazas así como de los controles requeridos para disminuir los riesgos. El ciclo de vida establecido para las arquitecturas de seguridad informático suele ser demasiado extenso ante un entorno en cambio constante.

Los cambios en los riesgos que debe considerar una organización tienen dos orígenes:

• El surgimiento de nuevas amenazas.
• La adopción de nuevas tecnologías que da origen a riesgos no previstos.

Todo sistema de información evoluciona, debido a la integración de hardware y software con características nuevas y más atractivas para los usuarios, así como al desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de riesgos imprevistos y también pueden crear vulnerabilidades donde antes no existían.

Se ejemplifica todo lo anterior en base a la tesis consultada: Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca, de la siguiente manera: 

  

En resumen, el informe técnico y los datos aquí expuestos reflejan que existen riesgos, amenazas y vulnerabilidades en todo sentido, especialmente en el tratamiento de la información y los sistemas que administran la misma al interior de la Institución Universitaria Colegio Mayor del Cauca, es de vital importancia asumir una postura consiente de que se deben iniciar procesos, esfuerzos y planes que lleven a la implementación de un Sistema de seguridad de la información (SGSI) apoyándose en las normas actuales vigentes ya mencionadas que apliquen en el país, buscando mantener en cierto grado un nivel de seguridad de la información aceptable..

Perafán J., Caicedo M. (2014)

Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca.

Escuela de Ciencias Básicas Tecnología e Ingeniería.