Etiquetas

MATRIZ DE RIESGOS

 ¿Cómo podemos analizar los riesgos a los que está expuesta nuestra empresa?😖

Con la matriz de riesgos😁, os proporciono aquí un ejemplo:


Personalizamos valores y umbrales...
Y añadimos 10 riesgos a nuestra matriz...


Como podemos ver en nuestro diagrama de burbujas se evalúa como mayores riesgos para nuestra empresa Mi Casa la suplantación de identidad en RRSS, el phising (cuenta bancaria), el robo de dispositivos (ej. móvil), la interrupción en el suministro energético y el acceso no autorizado a documentos confidenciales a papel. Esto se debe a que o estos riesgos tienen una alta probabilidad  de que ocurran o que su impacto es alto (es decir, el daño que haría la amenaza sobre el activo es alto). Además, el ransomware y el malware en el sistema de vigilancia también son riesgos potenciales (rojos), lo que al dar un valor de nivel idéntico a los otros riesgos no se representan en el diagrama a través de otras burbujas.

Asimismo, podemos ver que los menores riesgos serían el ataque de fuerza bruta a mi red y la manipulación de climatización o iluminación, esto se debe a que sus probabilidades de ocurrencia son bajas.

Cabe añadir que para realizar este diagrama ha sido muy simple. Se añade una nueva matriz, le damos un nombre y añadimos los riesgos que queramos. En cada riesgo, de manera subjetiva y razonada, se evalúa su probabilidad e impacto que dará lugar de forma automática al nivel final de riesgo.



Siguiendo con nuestra matriz, podemos contemplar que nuestro valor mínimo de riesgo es 1 (R=I x P= 1 x 1) y el valor máximo 100 (R= 10 x 10= 100).

Por último, en el contexto de una matriz de riesgo, donde se hace un cruce de probabilidad de amenaza e impacto (R=P x I), podríamos definir nuestro riesgo aceptable en un valor de 4. Así, podemos establecer las siguientes categorías para evaluar los riesgos sobre nuestros activos:

  • Riesgo aceptable (bajo): valores iguales o inferiores a 4 à x<=4
  • Riesgo moderado (medio): valores entre 4 y 6, incluyendo este último à 4<x<=6
  • Riesgo inaceptable (alto): valores mayores a 6 à 6<x

Esto nos permitirá identificar y clasificar los riesgos en función de su impacto, facilitando la toma de decisiones para su gestión, pues ajustamos estos límites en base a las tolerancias y características de nuestra organización.

Asimismo,  los activos a los que aludimos en nuestra matriz serían los siguientes (además, recordar que cada amenaza tiene su matriz):



Etiquetas:

Comentarios

Publicar un comentario

Entradas populares