MATRIZ PARA EL ANÁLISIS DE RIESGO

El análisis de riesgo es una tarea extensa y desgastante en función del tiempo que emplea su ejecución, porque requiere comprobación de la totalidad posible de daños de los recursos de una institución contra todas las posibles amenazas. 

 

El enfoque de la Matriz es hallar y observar los recursos de una organización, que están en peligro de sufrir un daño por algún impacto negativo, para posteriormente tener las herramientas y los criterios certeros para tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.

La matriz de riesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades como procesos y productos más importantes de una institución, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos que engendran estos riesgos o factores de riesgo. También permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización. Esta además debe ser una herramienta flexible que documente los procesos y evalúe de manera global el riesgo de una institución. Permite una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la entidad.

La matriz de riesgo efectiva permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Finalmente esta al estar adecuadamente diseñada y efectivamente implementada se transforma en el soporte conceptual y funcional del Sistema Integral de Gestión de Riesgo.

Análisis de riesgo informático: 

Es un proceso que abarca la identificación de activos informáticos, las vulnerabilidades y amenazas a los que se encuentran expuestos y su probabilidad de ocurrencia, además del impacto de las mismas, a fin de encontrar los controles para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

La meta principal es la de proteger a la organización y su habilidad de manejar su misión. También, el proceso no solamente debe ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino que también como una función esencial de administración de toda la organización.

Proceso de análisis de riesgos informáticos:

El proceso de análisis de riesgo proporciona un documento llamado matriz de riesgo, en el cual se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es vital para lograr una correcta administración del riesgo, que hace referencia a la gestión de los recursos de la organización.

Existen varias clases o tipos de riesgos tales como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otros. La ecuación que determina el riesgo total es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

La evaluación del riesgo incluye las siguientes actividades y acciones:

• ·         Identificación de los activos.
• ·         Identificación de los requisitos legales y de negocio para la identificación de los activos.
• ·         Valoración de los activos identificados.
• ·         Identificación de las amenazas y vulnerabilidades para los activos identificados.
• ·         Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
• ·         Cálculo del riesgo.
• ·         Evaluación de los riesgos frente a una escala de riesgo preestablecido.

Al efectuar el análisis se deben determinar las acciones respecto a los riesgos residuales que se identificaron:

• ·         Controlar el riesgo.
• ·         Eliminar el riesgo.
• ·         Compartir el riesgo.
• ·         Aceptar el riesgo.

Elementos de la Matriz:

1. Activo: Objeto o recurso de valor empleado en una empresa u organización. 
2. Amenaza: Evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos. 
3. Vulnerabilidad: Debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. 
4. Riesgo: Incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativo o positivo que pueden afectar el cumplimiento de los objetivos 
5. Análisis: Validar o dividir el todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
6. Control: Mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades.     

                                                                                                                   

ISO 31000

Esta es una familia de normas sobre Gestión del riesgo en normas codificadas por la organización International Organization for Standardization o comúnmente llamada ISO. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.

Actualmente este compendio de normas incluye:

·         ISO 31000:2009 - gestión de riesgos - principios y directrices1

·         ISO/IEC 31010 - gestión de riesgos - evaluación del riesgo2 evaluación técnicas del riesgo

·         ISO Guide 73:2009 - gestión de riesgos--vocabulario3 Gestión

Alcance o Propósito:

Está enfocada en aplicar y adaptar al público, cualquier empresa pública o privada, comunidad, asociación, grupo o individuo. Esta norma no tiene un propósito de certificación, pues aporta directrices para la implementación de una cultura organizacional y es de utilidad para un sistema de gestión ISO 9001 2015.

Que es el Riesgo:

"'El riesgo es el efecto de la incertidumbre sobre los objetivos".