Scribd
Cargar
28 vistas4 páginas

Formato Matriz de Riesgo ISO27001

El documento aborda la creciente necesidad de precisión en la evaluación de riesgos de ciberseguridad organizacional, destacando la importancia de la matriz de riesgos como herramienta clave en la gestión de estos riesgos. Se define el riesgo como la probabilidad de que una amenaza informática cause daños a un activo y se clasifican los riesgos en diferentes niveles. La construcción y adaptación de la matriz de riesgos permite identificar activos críticos y evaluar la probabilidad de amenazas, facilitando la gestión adecuada de riesgos en las organizaciones.

Cargado por

jolop78
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
28 vistas4 páginas

Formato Matriz de Riesgo ISO27001

El documento aborda la creciente necesidad de precisión en la evaluación de riesgos de ciberseguridad organizacional, destacando la importancia de la matriz de riesgos como herramienta clave en la gestión de estos riesgos. Se define el riesgo como la probabilidad de que una amenaza informática cause daños a un activo y se clasifican los riesgos en diferentes niveles. La construcción y adaptación de la matriz de riesgos permite identificar activos críticos y evaluar la probabilidad de amenazas, facilitando la gestión adecuada de riesgos en las organizaciones.

Cargado por

jolop78
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Introducción

El aumento de la visibilidad del riesgo de ciberseguridad organizacional ha creado una


mayor necesidad de precisión, exactitud y puntualidad en los modelos de evaluación de
riesgos. A medida que las empresas confían en los sistemas de información y la
tecnología de la información, aumenta el riesgo inherente a su infraestructura digital. La
matriz de riesgos, una forma de análisis que es muy anterior a las computadoras que
continúa convirtiéndose en una parte formal e importante de la gestión de riesgos de
seguridad.

Durante el desarrollo del componente formativo se deben adquirir los conocimientos


referentes a la construcción de una matriz de riesgos informáticos mediante la aplicación
de un formato ya preestablecido siguiendo las recomendaciones hecha por la norma ISO
27001.

Concepto de riesgo
Es la probabilidad que una amenaza informática se pueda materializar sobre un activo y a
la vez provocar un impacto que ocasione pérdidas o daños materiales o inmateriales.

Tipos de riesgo
No todas las amenazas informáticas pueden generar el mismo impacto en un activo, esto
nos permite poder clasificar los riesgos en varios niveles los cuales son:

El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de


una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la
decisión de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar
la gestión de riesgos.

Matriz de riesgos informáticos


La construcción de la matriz de riesgos informáticos en una organización es el insumo
más importante para identificar cuáles son esos activos que son necesarios para el
cumplimiento de su misión y visión, toda vez que permite conocer cuáles son esas
amenazas y la probabilidad de que tienen cada una de ellas de materializarse y provocar
un impacto determinado en la organización, el identificarlas nos facilitara el proceso de
definir y seleccionar cuales son las alternativas de mitigación que se podrán aplicar a fin
de poder realizar una gestión adecuada del riesgo.

Fundamentos de la matriz de riesgos


La matriz se basa en el método de análisis de riesgo con un grado de riesgo,
usando la fórmula:

Uso de la matriz
En la columna datos e información se deben de ingresar todos los activos
identificados previamente en las fases anteriores de acuerdo a su clasificación y
valuación, es donde debemos ingresar los sistemas de información, equipos,
personal entre otros que de acuerdo a la valuación de activos se determine son
importantes y necesarios para que la empresa pueda lograr el cumplimiento de
sus objetivos.

En la clasificación se debe seleccionar según el análisis previo a que tipos de


criterios podría verse afectado el activo, esta clasificación puede ser de tres tipos:
Esta clasificación obedece a entender e identificar en cuál de las anteriores clasificaciones
puede estar inmerso el activo a fin de poder definir su impacto y nivel de importancia que
tiene para la operación de la organización.

El siguiente paso será valuar la probabilidad de las amenazas que podrían surtir algún
efecto sobre los ACTIVOS ocasionando pérdidas materiales o inmateriales de estos, para
ello se debe dar un valor para cada una de ellas, estos valores pueden ser los siguientes:

De esta manera la matriz hace el cálculo automático y permite valuar el riesgo informático
logrando de esta manera tener una matriz de riesgos lista para su posterior análisis y
desarrollo del plan de tratamiento de riesgos.

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel
de riesgo que corre cada elemento de información de sufrir un daño significativo, causado
por una amenaza, sino también sobre las medidas de protección necesarias. (Velázquez
Martínez, 2011).
Adaptación de la matriz
La matriz trabaja con una colección de diferentes amenazas y elementos de
información. Ambas colecciones solo representan una aproximación a la situación
común de una organización, pero no necesariamente reflejan la realidad de una
organización específica. Entonces si hay necesidad de adaptar la matriz a la
situación real de una organización, solo hay que ajustar los valores de las
amenazas y de los datos de información.

También podría gustarte