Cálculo de la Matriz de Riesgos


Como se mencionó en los artículos anteriores, una matriz de riesgos es un instrumento válido para mejorar el control de riesgos y la seguridad de una organización.

Continuando con la metodología propuesta, pondremos en práctica la elaboración de una matriz de riesgos para una empresa “X” que hace uso de diversas tecnologías.

Primeramente, será necesario determinar las herramientas y métodos que serán incluidas en esta evaluación.

Planteamiento: En una visita realizada a la empresa X, se obtuvo la información histórica, fuerza de trabajo, estructura organizacional, entre otra información relevante para llevar a cabo esta auditoría. Resulta que la empresa cuenta con un sistema de información, el cual, se encuentra de manera local dentro de la empresa.

Usando la información obtenida, a continuación procedemos a realizar el análisis del riesgo.

1- Identificar y asignar un valor de impacto que recae en la organización si el riesgo identificado ocurriera

Para la empresa X, realizamos una definición de los posibles impactos

 

 

POR LA NATURALEZA DEL IMPACTODESCRIPCIÓN DEL IMPACTO
Financiero

Probabilidad de ocurrencia de un evento que tenga consecuencias financieras negativas para una organización

Reputación

Peligro de que una opinión pública negativa impida o disminuya la capacidad para hacer negocios de la empresa. 

Operación

Posibilidad de afectar el desarrollo de las operaciones y servicios que realiza la compañía, al atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de la información. 

Medio ambiente, seguridad e higiene

Alteración de la línea de base ambiental como consecuencia de la acción antrópica de la empresa. 

Ahora, asignamos un valor a cada impacto

Odoo CMS - una imagen grande

 

 Lo siguiente será asignar el impacto a cada riesgo encontrado durante la visita a la empresa X (tomando en cuenta los controles establecidos por la empresa para el manejo de estos riesgos), por mencionar algunos ejemplos:


Odoo CMS - una imagen grande

2- Identificar y asignar un valor de Probabilidad de que el riesgo identificado ocurra.

 En el segundo paso, usaremos una tabla genérica de identificación de probabilidades:

 

Odoo CMS - una imagen grande

 En el segundo paso, usaremos una tabla genérica de identificación de probabilidades:

 

Usando estas probabilidades y considerando el impacto ante las amenazas observado anteriormente, asignaremos el valor correspondiente a cada riesgo

Usando estas probabilidades y considerando el impacto ante las amenazas observado anteriormente, asignaremos el valor correspondiente a cada riesgo

Usando estas probabilidades y considerando el impacto ante las amenazas observado anteriormente, asignaremos el valor correspondiente a cada riesgo

Usando estas probabilidades y considerando el impacto ante las amenazas observado anteriormente, asignaremos el valor correspondiente a cada riesgo

RIESGOIMPACTOPROBABILIDAD
ServidorALTO(4)POSIBLE(3)
Computadoras personalesMOD.(3)

POSIBLE(3)

SwitchGRAVE(5)

POSIBLE(3)

No break

ALTO(4)

CASI SEGURO(5)
Sistema operativo en servidor

MOD.(3)

IMPROBABLE(2)
Seguridad en sistema informático

ALTO(4)

PROBABLE(4)

3- Realizar el cálculo de los factores que componen el riesgo: impacto inherente y probabilidad inherente


  •  Impacto Inh: impacto de un evento, sin considerar las acciones y controles mitigantes.                                        Impacto determinado / Impacto más alto 


RIESGOCÁLCULOIMPACTO Inh
1- Servidor

(4) / 5

0.8
2- Computadoras personales

(3) / 5

0.6
3- Switch

(5) / 5

1.0
4- No Break

(4) / 5

0.8
5- Sistema operativo en servidor

(3) / 5

0.6
6- Seguridad en sistema informático

(4) / 5

0.8




  •  Probabilidad Inh: probabilidad de ocurrencia de evento no deseado sin considerar las acciones y controles mitigantes.                                    

            • Probabilidad determinada / Probabilidad más alta


RIESGOCÁLCULOIMPACTO Inh
1- Servidor

(3) / 5

0.6
2- Computadoras personales

(3) / 5

0.6
3- Switch

(3) / 5

0.6
4- No Break

(5) / 5

1.0
5- Sistema operativo en servidor

(2) / 5

0.4
6- Seguridad en sistema informático

(4) / 5

0.8



4- Realizar un cálculo de riesgo inherente.


  •  Riesgo inherente: es el riesgo existente ante la ausencia de alguna acción que la dirección pueda tomar para alterar tanto la probabilidad o el impacto del mismo.                                   RIESGO INHERENTE = PROBABILIDAD inh * IMPACTO inh


RIESGOCÁLCULOIMPACTO Inh
1- Servidor

(0.8 * 0.6) * 100

48%
2- Computadoras personales

(0.6 * 0.6) * 100

36%
3- Switch

(1.0 * 0.6) * 100

60%
4- No Break

(0.8 * 1.0) * 100

80%
5- Sistema operativo en servidor

(0.6 * 0.4) * 100

24%
6- Seguridad en sistema informático

(0.8 * 0.8) * 100

64%



4- Matriz de riesgos de auditoría.


  •  El resultado de multiplicar PxI (Probabilidad x Impacto) será la clasificación global del riesgo, podemos usar un código de colores para los riesgos en nuestra matriz como el siguiente: verde (riesgo bajo), amarillo (riesgo medio), naranja (alto), rojo (riesgo muy alto).





 

 Finalmente, observamos que las medidas actuales de la empresa X no son suficientes para tener una total aceptación en la evaluación de auditoría, ya que, los riesgos presentes en la empresa tienen una alta probabilidad de ocurrencia.

Si deseas conocer más del tema visita:

                                                                                                  La importancia de una Matriz de riesgos de la empresa 

                                                                                                                Análisis de riesgos en la organización 



Enviar