La matriz de riesgos es una actividad que puede tomar mucho tiempo y esfuerzo si no se está bien enfocado o no sé tienen los recursos necesarios. Por ello, acá logramos simplificar la información para darte todo el conocimiento que te llevará al éxito.
Te recomendamos leer este artículo completo; es aquí donde te explicamos cómo usar nuestro template para que puedas terminar la actividad fácilmente🚀.
Explicación general del documento 💻
Este documento (spreadsheet) cuenta con las siguientes 3 pestañas:
Portada | Versionado
Esta pestaña se considera la carátula y es la sección donde debes indicar la información pertinente de elaboración y aprobación del documento para llevar un correcto control de versiones.
Instrucciones
En esta pestaña encontrarás todas las instrucciones e información relevante sobre el llenado correcto de este documento.
Es de suma importancia que leas todo el contenido de esta pestaña detenidamente antes de comenzar.
Matriz
Esta pestaña contiene todas las columnas, fórmulas y recursos con los que crearás tu documento.
Ejemplos prácticos📝
A continuación te mostraremos algunos ejemplos prácticos de cómo usar nuestro template.
Para la pestaña de Portada | Versionado
Así se ve inicialmente:
💡Pro Tip: Recuerda leer los comentarios informativos que te deja el equipo de Hackmetrix.
Y se verá algo similar a la imagen siguiente una vez que lo completes:
💡Pro Tip: Recuerda cerrar los comentarios informativos que te deja el equipo de Hackmetrix una vez que ya no los necesites, y eliminar el marcado, es decir, quitar el color de las celdas.
Para la pestaña de Instrucciones
Las instrucciones cuentan con tres apartados:
Instrucciones
Estas instrucciones son generales, indicando los pasos iniciales a seguir para comprender el objetivo del documento y su estructura.
Recuerda que:
Corresponde a los pasos a seguir una vez terminado el documento, considerando las acciones pertinentes por parte de tu equipo y lo que debe realizarse dentro de nuestra plataforma.
Información sobre el template
Aquí encontrarás explicaciones de las columnas y recursos de apoyo para poder completar el template correctamente.
El inicio de cada uno de estos apartados dentro de la pestaña se ve de la siguiente manera:
💡Pro Tip: Lee todo el contenido de esta pestaña, incluidos los comentarios informativos que te deja el equipo de Hackmetrix antes de comenzar a llenar el documento.
Para la pestaña de Matriz
La vista inicial de esta pestaña se ve de la siguiente manera para la identificación del riesgo:
Para la evaluación y análisis del riesgo:
Y para el plan de tratamiento de riesgos:
Ahora sí, ¡comencemos con los ejemplos prácticos de cómo debes llenar cada columna!
La columna de tipo de activo te mostrará un listado con las categorías que agrupan todos los activos de información.
Debes seleccionar la opción más adecuada para el tipo de activo que deseas registrar.
💡Pro Tip: Copia y pega los tipos de activos de aquellos que fueron seleccionados desde tu inventario para pasar a esta matriz. Siguiendo los lineamientos de la Metodología de Gestión de Riesgos, los activos que pasan a esta matriz son solo los de criticidad alta.
Para nuestro ejemplo elegiremos “Software”.
La columna de nombre del activo te mostrará un listado con las herramientas más comunes que usan las empresas hoy en día.
💡Pro Tip: Esto te ayudará solo cuando el tipo de activo sea: “Software” o “Servicios | Productos de proveedores”, ya que dentro del listado se encuentran los principales proveedores de servicios de nube.
Si deseas registrar alguna de las herramientas que vienen en el listado, solo debes seleccionarla.
Si no encuentras la herramienta que deseas registrar, o el tipo de activo no es “Software” o “Servicios | Productos de proveedores”, debes añadir manualmente el nombre del activo.
💡Pro Tip: Copia y pega los nombres de los activos de aquellos que fueron seleccionados desde el inventario para pasar a esta matriz.
Para nuestro ejemplo, elegiremos “Asana”.
La columna de ID del riesgo corresponde al identificador con el que se conocerá dicho riesgo.
Contar con un ID de riesgos te ayuda a llevar un seguimiento adecuado del mismo y facilitar las consultas o revisiones.
Como podrás ver desde el inicio de nuestro ejemplo, la columna cuenta con una propuesta de identificador; R.1.2022. Esta consiste en R (de riesgo), 1 (número de riesgo) y 2022 (año en el que se identificó el riesgo).
💡Pro Tip: Si deseas utilizar el ID que te propone nuestro template, solo arrastra hacia abajo la fórmula que contiene la celda y se les asignará un ID a todos tus riesgos fácilmente.
La columna de amenaza te mostrará un listado de amenazas que se encuentran categorizadas por el tipo de activo al que afectan.
A un lado de la descripción de cada una de ellas encontrarás las siguientes categorías:
A la información
Al software
A activos físicos
A los servicios
Al personal
A la instalaciones
Estas categorías engloban de manera general las amenazas más comunes e importantes a las que pueden estar expuestos los activos de información de una empresa.
💡Pro Tip: Puedes añadir otras amenazas manualmente si lo consideras necesario.
Para nuestro ejemplo, elegiremos una amenaza a la información; “Acceso no autorizado a la información”.
La columna de vulnerabilidad te mostrará un listado de las posibles vulnerabilidades que pueden ser explotadas por la amenaza previamente definida.
💡Pro Tip: Puedes añadir otras vulnerabilidades manualmente si lo consideras necesario.
Para nuestro ejemplo, elegiremos “Inadecuada segregación de funciones”.
Con la opciones definidas hasta ahora, podemos crear el siguiente ejemplo:
Nuestro sistema Asana tiene una inadecuada segregación de funciones (vulnerabilidad), es decir que tiene más usuarios administradores de los que debería tener, por lo que si uno de ellos decidiera explotar esta vulnerabilidad, podría acceder de manera no autorizada a información o configuraciones del sistema que no le corresponden (amenaza).
Para la columna de descripción del riesgo debes identificar la relación que tiene la amenaza y la vulnerabilidad para poder responder la pregunta: ¿cuál es la consecuencia de que dicha vulnerabilidad sea explotada por esa amenaza?
Siguiendo nuestro ejemplo anterior, podemos decir que si se explota la inadecuada segregación de funciones de Asana y ocurre un acceso no autorizado a la información, lo que podría ocurrir es un robo, alteración o pérdida de información, ya sea de manera accidental o intencional.
El robo, alteración o pérdida de información sería el riesgo.
Con eso terminaríamos la identificación del riesgo 💪.
Para la evaluación y análisis del riesgo, comenzamos con la columna de dueño del riesgo, la cual te mostrará un listado con algunos de los roles que puede tener una empresa.
Si deseas asignar ese riesgo a uno de los roles que vienen en el listado, solo debes seleccionarlo.
Si no encuentras el rol al que deseas asignar ese riesgo dentro del listado, debes añadirlo manualmente.
Para nuestro ejemplo, elegiremos “CTO”.
La columna de probabilidad te mostrará un listado con los valores del 1 al 5.
Debes seleccionar la opción más adecuada para evaluar la probabilidad de ese riesgo.
💡Pro Tip: Para que sea más sencillo asignar un valor para la probabilidad, puedes preguntarte: ¿qué tan posible es que este riesgo ocurra? Además, recuerda tomar en cuenta las descripciones que te proporcionamos en la pestaña de Instrucciones para esta columna.
Para nuestro ejemplo, indicaremos un valor de “3”.
La columna de impacto también te mostrará un listado con los valores del 1 al 5.
Debes seleccionar la opción más adecuada para evaluar el impacto de ese riesgo.
💡Pro Tip: Para que sea más sencillo asignar un valor al impacto, puedes preguntarte: si el riesgo ocurre, ¿qué tanto puede afectar a las operaciones de la empresa? Además, recuerda tomar en cuenta las descripciones que te proporcionamos en la pestaña de Instrucciones para esta columna.
Para nuestro ejemplo, indicaremos un valor de “4”.
La columna de nivel de riesgo se llena automáticamente una vez asignados los valores para probabilidad e impacto, siguiendo los lineamientos de la Metodología de Gestión de Riesgos y las fórmulas preestablecidas dentro del template.
Siguiendo nuestro ejemplo podemos decir que, según nuestra empresa, el riesgo de robo, alteración o pérdida de información tiene una probabilidad de 3, un impacto de 4 y esto resulta en un nivel de riesgo alto.
El nivel de riesgo se rige por el siguiente mapa de calor, el cual también podrás encontrar dentro del template en la pestaña de Instrucciones:
La columna de decisión de tratamiento te mostrará un listado con las opciones para el tratamiento de riesgos.
Debes seleccionar la opción más adecuada para tratar ese riesgo.
💡Pro Tip: Para que sea más sencillo tomar la decisión de tratamiento más adecuada, te sugerimos leer y comprender la sección 3.4 Tratamiento de riesgos de la Metodología de Gestión de Riesgos que te proporciona Hackmetrix. De igual manera, aquí te compartimos la información más importante:
Mitigar:
Esta decisión implica la implementación de controles que ayuden a reducir la probabilidad y el impacto del riesgo, así como a obtener un nivel de riesgo más bajo en la evaluación del riesgo residual.
Los controles a implementar se documentan en la declaración de aplicabilidad de la empresa (actividad 14 del plan de acción de Hackmetrix).
Aceptar:
Esta decisión implica que la organización está consciente del riesgo pero decide aceptarlo al validar los resultados de un análisis costo-beneficio.
La aceptación del riesgo podría estar sujeta a las siguientes condiciones:
Cuando el costo de mitigar el riesgo se estima mayor al costo que podría generar la ocurrencia del mismo.
Cuando se sufren recortes de presupuesto por decisión de la alta dirección.
Esta decisión se debe documentar y formalizar por medio de una carta de aceptación del riesgo.
Eliminar:
Esta decisión implica deshacerse del activo de información involucrado para eliminar el riesgo desde la raíz al validar que no hay consecuencias negativas y/o que el activo es prescindible o reemplazable.
Transferir:
Esta decisión implica pasar la responsabilidad del riesgo a terceros, como puede ser un proveedor para que éste sea el que responda si el riesgo llega a materializarse.
Para nuestro ejemplo, elegiremos la decisión de “Mitigar”.
Como podrás ver en la imagen anterior, la columna de acción recomendada se llena automáticamente, al seleccionar una decisión de tratamiento.
La decisión de “mitigar” nos indica que debemos continuar definiendo las columnas de la derecha.
💡Pro Tip: Si seleccionas cualquier otra decisión (aceptar, eliminar o transferir) te mostrará como acción recomendaba: documenta el motivo del porqué se tomó esta decisión.
Dentro del template, al seleccionar alguna opción que no sea mitigar, las columnas de la derecha se resaltarán en color azul oscuro para indicar que no se deben llenar, como podrás ver en la siguiente imagen:
Con eso terminaríamos la evaluación y análisis del riesgo 💪.
Para el plan de tratamiento, la columna con el mismo nombre; plan de tratamiento corresponde a los controles de seguridad que serán aplicados para mitigar el riesgo.
Siguiendo nuestro ejemplo y tomando como referencia los controles de seguridad de la ISO 27002, podemos decir que nuestro riesgo identificado puede ser mitigado con la implementación de los siguientes controles:
A.9.1.1 Política de control de acceso.
A.9.2.3 Gestión de derechos de acceso privilegiados.
A.9.2.5 Revisión de los derechos de acceso de usuario.
A.9.4.1 Restricción de acceso a la información.
Debes analizar los controles que te proporciona la norma o estándar, e indicar aquellos que te ayudarán a mitigar el riesgo.
💡Pro Tip: Al analizar los controles de seguridad que implementarás para mitigar tus riesgos, estarás realizando básicamente el análisis que se documenta en tu declaración de aplicabilidad (actividad 14 del plan de acción de Hackmetrix), por lo que llegado este punto, podrías ir trabajando los documentos a la par.
¡Pero por el momento no te agobies! Sigue leyendo para terminar con esta actividad 🚀
La columna de responsable de seguimiento te mostrará un listado con algunos de los roles que puede tener una empresa.
Si deseas asignar el seguimiento de ese riesgo a uno de los roles que vienen en el listado, solo debes seleccionarlo.
Si no encuentras el rol al que deseas asignar el seguimiento de ese riesgo dentro del listado, debes añadirlo manualmente.
Para nuestro ejemplo, elegiremos “OSI”.
La columna de estado te mostrará un listado con las etapas en las que se puede encontrar el riesgo.
Debes elegir el estado más actual en el que se encuentre el riesgo con respecto a la implementación de los controles del plan de tratamiento.
Para nuestro ejemplo, elegiremos “Mitigado”, que significa que los controles ya fueron implementados correctamente. Esto nos permitirá continuar con las siguientes columnas.
💡Pro Tip: Si tu riesgo aún no está mitigado, no podrás continuar con las columnas siguientes ya que ahí se debe realizar una nueva evaluación de la probabilidad y el impacto del riesgo, una vez implementados los controles de seguridad.
Estas columnas de probabilidad e impacto te mostrarán un listado con los valores del 1 al 5.
Al igual que en las columnas anteriores, debes seleccionar la opción más adecuada para evaluar la probabilidad e impacto de ese riesgo ya mitigado.
💡Pro Tip: Como ya lo hicimos anteriormente, para asignar un valor para la probabilidad e impacto puedes preguntarte nuevamente: ¿qué tan posible es que este riesgo ocurra, ahora que ya implementé controles de seguridad y qué tanto puede afectar a las operaciones de la empresa si llega a ocurrir? Además, recuerda tomar en cuenta las descripciones que te proporcionamos en la pestaña de Instrucciones para esas columnas (aplica la misma información que usaste para evaluar el riesgo la primera vez).
Para nuestro ejemplo, ahora indicaremos un valor de “2” tanto para probabilidad como para impacto.
Como podrás ver en la imagen anterior, la columna de nivel de riesgo residual y acción recomendada (después de tratar) se llenan automáticamente una vez asignados los valores para probabilidad e impacto, siguiendo los lineamientos de la Metodología de Gestión de Riesgos y las fórmulas preestablecidas dentro del template.
Siguiendo nuestro ejemplo, podemos decir que la probabilidad e impacto del riesgo de robo, alteración o pérdida de información disminuyó a un valor de “2”, gracias a la implementación de los controles de seguridad, haciendo que ahora su nivel de riesgo sea muy bajo.
En esta evaluación, el nivel de riesgo se rige por el mismo mapa de calor mencionado anteriormente.
Por último, la acción recomendada indica que el riesgo deberá ser reevaluado en el próximo análisis de riesgo, es decir al año siguiente.
💡Pro Tip: Recuerda que la revisión de la matriz de riesgos debe realizarse, por lo menos, una vez al año o ante cualquier cambio significativo que impacte en ella.
Recomendaciones ✅
Al terminar el documento, te sugerimos colocar su versión en el título.
Debes enfocarte en los activos alcanzados por tu SGSI.
Asegúrate de asignar de una manera precisa los valores de probabilidad e impacto para cada uno de los riesgos. Tómate el tiempo de analizar y calificar cada uno de acuerdo a su relevancia real.
Tener un inventario de activos correctamente documentado te ayudará a identificar los riesgos asociados a él de forma mucho más simple y rápida.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.