CORPORACION UNIFICADA NACIONAL DE EDUCACION

SUPERIOR CUN

INGENIERIA DE SISTEMAS

MATERIA:
AUDITORIA DE SISTEMAS

ALUMNO:
SANDRA LEONOR RUIZ SUARES
SANDRA LILIANA JARA SANCHEZ
LILIANA ASTRID RAMREZ ARIAS

PRESENTADO A:
NESTOR ALEJANDRO PINZON LOPEZ

BOGOTA, FEBRERO 24 DEL 2015

Matriz para el Anlisis de Riesgo

La matriz para el anlisis de riesgos es una herramienta de control y gestin que
es utilizada para identificar las actividades (procesos y productos) ms importantes
dentro de una empresa, permite visualizar los riesgos de un proyecto desde la
etapa de planificacin, facilitando la mitigacin al maximizar las oportunidades de
que los riesgos se manejen a tiempo y minimizando el impacto negativo del
proyecto. Su objetivo principal es identificar y cuantificar los riesgos para lograr
una gestin que permita disminuir la probabilidad de que los eventos adversos
afecten al proyecto de forma importante.

Ejemplo:

La Matriz se bas en el mtodo de Anlisis de Riesgo, usando la formula

Riesgo = Probabilidad de Amenaza x Magnitud de Dao
La Probabilidad de Amenaza y Magnitud de Dao pueden tomar los valores y
condiciones respectivamente

1 = Insignificante (incluido Ninguna)

2 = Baja
3 = Mediana
4 = Alta

El Riesgo, es el producto de la multiplicacin Probabilidad de Amenaza por

Magnitud de Dao, y est agrupado en tres rangos, para su interpretacin, se
aplica diferentes colores.
Calificacin de la amenaza

Bajo Riesgo = 1 6 (verde)

Medio Riesgo = 8 9 (amarillo)
Alto Riesgo = 12 16 (rojo)
La Matriz contiene una coleccin de diferentes Amenazas (campos verdes) y
Elementos de informacin (campos rojos). Para llenar la Matriz, tenemos que
estimar los valores de la Probabilidad de Amenaza (campos azules) por cada
Amenaza y la Magnitud de Dao (campos amarillas) por cada Elemento de
Informacin.

Para estimar la Probabilidad de amenazas, se trabaja con un valor generalizado,

que (solamente) est relacionado con el recurso ms vulnerable de los elementos
de informacin, sin embargo usado para todos los elementos. Si por ejemplo
existe una gran probabilidad de que nos pueden robar documentos y equipos en la
oficina, porque ya entraron varias veces y no contamos todava con una buena
vigilancia nocturna de la oficina, no se distingue en este momento entre la
probabilidad si robarn una porttil, que est en la oficina (con gran probabilidad
se van a llevarla), o si robarn un documento que est encerrado en una caja
fuerte escondido (es menos probable que se van a llevar este documento).

Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de

Dao, la Matriz calcula el producto de ambos variables y visualiza el grado de
riesgo.

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre
el nivel de riesgo que corre cada elemento de informacin de sufrir un dao
significativo, causado por una amenaza, sino tambin sobre las medidas de
proteccin necesarias

Proteger los datos de RR.HH, Finanzas contra virus

Proteger los datos de Finanzas y el Coordinador contra robo
Evitar que se compartan las contraseas de los porttiles
Proteger el Personal (Coordinador y Personal tcnico) contra Virus de
computacin
Tambin existen combinaciones que no necesariamente tienen mucho sentido y
por tanto no se las considera para definir medidas de proteccin.
Tomado de:
https://protejete.wordpress.com/gdr_principal/matriz_riesgo/
CHECKLIST
Es una lista de comprobacin que sirve como gua para verificar las reas que
deben ser inspeccionadas en funcin a los conocimientos que se tienen sobre
las caractersticas y riesgo de las instalaciones.
La lista de chequeo o checklist se considera una herramienta muy til de auditora,
siendo uno de los mtodos de evaluacin ms antiguos ampliamente usados, en

seguridad informtica consiste en revisar si existen controles administrativos,

operativos y tcnicos, este proceso no evala la efectividad de los controles
implantados. Tambin se identifica que se cumplan los principios de seguridad
generalmente aceptados (GSSPs).
Ejemplos de lista de chequeo.

Tomado de:
http://contactcenterleimar.blogspot.com/p/lista-de-chequeo.html

Tomado de:

http://www.slideshare.net/RMB101-EQUIPO1/lista-de-chequeo-de-la-sala-deinformatica-de-la-institucion-educativa
Una vez desarrollada la matriz de riesgos se procede a desarrollar alternativas
que se definen como acciones para disminuir el impacto del riesgo sobre un
proyecto. Existen cuatro respuestas bsicas de la gestin de riesgos que son las
siguientes:
Aceptar: Admitir si el impacto del riesgo es mnimo o el costo para mitigarlo es
mayor al costo del impacto del riesgo.
Transferir: Trasladar todo el riesgo a terceros para disminuir el riesgo en el
proyecto.
Mitigar: Disminuir la probabilidad de que se produzca el riesgo al establecer
acciones anticipadas para evitar que suceda.
Evitar: Contrarrestar los riesgos que van surgiendo mediante estrategias. Esto
puede implicar cambios en el cronograma o el alcance del proyecto para eliminar
la amenaza del riesgo.

Cibergrafa:
http://es.scribd.com/doc/13889837/Gestion-de-Riesgos-la-Matriz-de-Riesgos