ANALISIS DE RIESGO
Páginas: 16 (3844 palabras)
Publicado: 5 de agosto de 2015
8. Matriz para el Análisis de Riesgo
Introducción
La Matriz para el Análisis de Riesgo, es producto del proyecto de Seguimiento al “Taller Centroamericano Ampliando la Libertad de Expresión: Herramientas para la colaboración, información y comunicación seguras” y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones socialesparticipantes. La Matriz, que basé en una hoja de calculo, no dará un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de información) de la institución, sino una mirada aproximada y generalizada de estos.
Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cadarecurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la mayoría de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni cuentan con personal técnico específico para los equipos de computación, ni con recursos económicos o muchotiempo para dedicarse o preocuparse por la seguridad de la información que manejan y en muchas ocasiones tampoco por la formación adecuada de sus funcionarios en el manejo de las herramientas informáticas.
Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organización, que están más en peligro de sufrir un daño por algún impacto negativo, paraposteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.
Descargar la Matriz
El formato (vacío) de la Matriz en versión OpenOffice y Microsoft Excel, más algunos documentos de apoyo, se puede obtener en la sección Descargas.
Fundamento de la Matriz
La Matriz la basé en el método de Análisis de Riesgo con un grafo deriesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño
La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejorvisualización, se aplica diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
Uso de la Matriz
La Matriz verdadera la basé en un archivo con varias hojas de calculo que superan el tamaño de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imágenes solo se muestra una fracción de ella.
La Matriz contiene unacolección de diferentes Amenazas (campos verdes) yElementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.
Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) estárelacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, queestá en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento).
Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir...
Introducción
La Matriz para el Análisis de Riesgo, es producto del proyecto de Seguimiento al “Taller Centroamericano Ampliando la Libertad de Expresión: Herramientas para la colaboración, información y comunicación seguras” y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones socialesparticipantes. La Matriz, que basé en una hoja de calculo, no dará un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de información) de la institución, sino una mirada aproximada y generalizada de estos.
Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cadarecurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la mayoría de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni cuentan con personal técnico específico para los equipos de computación, ni con recursos económicos o muchotiempo para dedicarse o preocuparse por la seguridad de la información que manejan y en muchas ocasiones tampoco por la formación adecuada de sus funcionarios en el manejo de las herramientas informáticas.
Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organización, que están más en peligro de sufrir un daño por algún impacto negativo, paraposteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.
Descargar la Matriz
El formato (vacío) de la Matriz en versión OpenOffice y Microsoft Excel, más algunos documentos de apoyo, se puede obtener en la sección Descargas.
Fundamento de la Matriz
La Matriz la basé en el método de Análisis de Riesgo con un grafo deriesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño
La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejorvisualización, se aplica diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
Uso de la Matriz
La Matriz verdadera la basé en un archivo con varias hojas de calculo que superan el tamaño de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imágenes solo se muestra una fracción de ella.
La Matriz contiene unacolección de diferentes Amenazas (campos verdes) yElementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.
Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) estárelacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, queestá en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento).
Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir...
Leer documento completo
Regístrate para leer el documento completo.