MATRIZ DE RIESGO

INTRODUCCION
Cualquier actividad que el ser humano realice est expuesta a riesgos de
diversa ndole los cuales influyen de distinta forma en los resultados esperados.
La capacidad de identificar estas probables eventualidades, su origen y posible
impacto constituye ciertamente una tarea difcil pero necesaria para el logro de
los objetivos. En el caso especfico de las industrias, el desempeo de estas
instituciones depende de la gestin de los riesgos inherentes a su actividad,
tales como riesgos qumicos, fsicos, ergonmicos, entre otros, algunos de ellos
de compleja identificacin y de difcil medicin. En este sentido gestionar
eficazmente los riesgos para garantizar resultados concordantes con los
objetivos estratgicos de la organizacin, quizs sea uno de los mayores retos
de los administradores y gestores de la seguridad.
Qu es una Matriz de Riesgo?
Una matriz de riesgo constituye una herramienta de control y de gestin
normalmente utilizada para identificar las actividades (procesos y productos)
de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los
factores exgenos y endgenos relacionados con estos riesgos (factores de
riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una
adecuada gestin y administracin de los riesgos que pudieran impactar los
resultados y por ende al logro de los objetivos de una organizacin.
Qu elementos deben considerarse en el diseo de una matriz de
riesgo?
A partir de los objetivos estratgicos y plan de negocios, la administracin de
riesgos debe desarrollar un proceso para la identificacin de las
actividades principales y los riesgos a los cuales estn expuestas;
entendindose como riesgo la eventualidad de que una determinada entidad
no pueda cumplir con uno o ms de los objetivos.

Consecuentemente, una vez establecidas todas las actividades, se deben

identificar las fuentes o factores que intervienen en su manifestacin y
severidad, es decir los llamados factores de riesgo o riesgos
inherentes. Los factores o riesgos inherentes pueden no tener el mismo
impacto sobre el riesgo agregado, siendo algunos ms relevantes que otros,
por lo que surge la necesidad de ponderar y priorizar los riesgos primarios.
El siguiente paso consiste en determinar la probabilidad de que el riesgo
ocurra y un clculo de los efectos potenciales sobre el capital o las utilidades
de la entidad. La valorizacin del riesgo implica un anlisis conjunto de la
probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en
trminos cualitativos o cuantitativos, dependiendo de la importancia o
disponibilidad de informacin. La valorizacin consiste en asignar a los riesgos
calificaciones dentro de un rango, que podra ser por ejemplo de 1 a 5
(insignificante (1), baja (2), media (3), moderada (4) o alta(5))3, dependiendo
de la combinacin entre impacto y probabilidad. En la siguiente grfica se
puede observar un ejemplo de esquema de valorizacin de riesgo en funcin
de la probabilidad e impacto de tipo numrico con escala:

Una vez que los riesgos han sido valorizados se procede a evaluar la calidad
de la gestin, a fin de determinar cun eficaces son los controles establecidos
por la empresa para mitigar los riesgos identificados. En la medida que los
controles sean ms eficientes y la gestin de riesgos pro-activa, el indicador de
inherente neto tiende a disminuir.
BENEFICIOS DE LA MATRIZ DE RIESGOS
-Permite la intervencin inmediata y la accin oportuna.
-Evaluacin metdica de los riesgos.
-Promueve una slida gestin de riesgos en las industrias.
-Monitoreo continuo.
La Matriz est compuesto por 6 hojas

Datos: Es la hoja para valorar el riesgo para los Elementos de

Informacin Datos e Informaciones, llenando los campos Magnitud de
Dao y Probabilidad de Amenaza conforme a sus valores estimados
(solo estn permitidos valores entre 1 y 4). Los valores de Probabilidad
de Amenaza solo se aplica en est hoja, porque las dems hojas, hacen
referencia a estos. Los tres campos de Clasificacin (Confidencial,
Obligacin por ley, Costo de recuperacin) no tienen ningn efecto
sobre el resultado de riesgo y no necesariamente tiene que ser llenados.
Sin embargo pueden ser usados como campos de apoyo, para justificar o
subrayar el valor de Magnitud de Dao estimado. En caso de usarlo, hay
que marcar los campos respectivos con una x (cualquier combinacin
de los campos est permitido, todos marcados, todos vacos etc.).

Sistemas: Es la hoja para valorar el riesgo para los Elementos de

Informacin Sistemas e Infraestructura. Hay que llenar solo los valores
de Magnitud de Dao, debido a que los valores de Probabilidad de
Amenaza estn copiados automticamente desde la hoja 1_Datos.
Igual como en 1_Datos, los tres campos de Clasificacin (Acceso
exclusivo, Acceso ilimitado, Costo de recuperacin) otra vez no tienen
ningn efecto sobre el resultado de riesgo y solo sirven como campo de
apoyo.

Personal: Es la hoja para valorar el riesgo para los Elementos de

Informacin Personal. Igual como en 2_Sistemas, solo hay que llenar
los valores de Magnitud de Dao. Otra vez, los tres campos de
Clasificacin (Imagen pblica, Perfil medio, Perfil bajo) solo sirven
como campo de apoyo.

Anlisis Promedio: Esta hoja muestra el promedio aritmtico de los

diferentes riesgos, en relacin con los diferentes grupos de amenazas y
daos. La idea de esta hoja es ilustrar, en que grupo (combinacin de

Probabilidad de Amenaza y Magnitud de Dao) hay mayor o menor

peligro. No hay nada que llenar en esta hoja.

Anlisis Factores: Esta hoja tiene el mismo propsito como la hoja

Anlisis_Promedio, con la diferencia que esta vez el promedio
aritmtico de los grupos est mostrado en un grafo, dependiendo de la
Probabilidad de Amenaza y Magnitud de Dao. La linea amarilla muestra
el traspaso de la zona Bajo Riesgo a Mediano Riesgo y la linea roja, el
traspaso de Mediano riesgo a Alto Riesgo. La idea de esta hoja es ilustrar
el nivel de peligro por grupo y la influencia de cada factor (Probabilidad
de amenaza, Magnitud de Dao).

Fuente: Esta hoja se usa solo para la definicin de algunos valores

generales de la matriz.

Adaptacin de la Matriz a las necesidades individuales

La Matriz trabaja con una coleccin de diferentes Amenazas y Elementos de
informacin. Ambas colecciones solo representan una aproximacin a la
situacin comn de una organizacin, pero no necesariamente reflejan la
realidad de una organizacin especifica. Entonces si hay necesidad de adaptar
la Matriz a la situacin real de una organizacin, solo hay que ajustar los
valores de las Amenazas en la hoja Datos (solo en esta) y los Elementos
de informacin en su hoja correspondiente. Pero ojo, si hay que insertar,
quitar filas o columnas, se recomienda hacerlo con mucho cuidado, debido a
que se corre el peligro de introducir errores en la presentacin y el calculo de
los resultados.
Clasificacin de Riesgo
El objetivo de la clasificacin de riesgo es determinar hasta que grado es
factible combatir los riesgos encontrados. La factibilidad normalmente depende
de la voluntad y posibilidad econmica de una institucin, sino tambin del
entorno donde nos ubicamos. Los riesgos que no queremos o podemos
combatir se llaman riesgos restantes y no hay otra solucin que aceptarlos.

Implementar medidas para la reduccin de los riesgos significa realizar

inversiones, en general econmicas. El reto en definir las medidas de
proteccin, entonces est en encontrar un buen equilibrio entre su
funcionalidad (cumplir con su objetivo) y el esfuerzo econmico que tenemos
que hacer para la implementacin y el manejo de estas.
De igual manera como debemos evitar la escasez de proteccin, porque nos
deja en peligro que pueda causar dao, el exceso de medidas y procesos de
proteccin, pueden fcilmente paralizar los procesos operativos e impedir el
cumplimiento de nuestra misin. El caso extremo respecto al exceso de
medidas sera, cuando las inversiones para ellas, superen el valor del recurso
que pretenden proteger.
Entonces el estado que buscamos es, que los esfuerzos econmicos que
realizamos y los procesos operativos, para mantener las medidas de
proteccin, son suficientes, ajustados y optimizados, para que respondan
exitosamente a las amenazas y debilidades (vulnerabilidades) que
enfrentamos.

Con Riesgo restante se entiende dos circunstancias, por un lado son estas
amenazas y peligros que, aunque tenemos implementados medidas para evitar
o mitigar sus daos, siempre nos pueden afectar, si el ataque ocurre con una
magnitud superior a lo esperado. Podemos protegernos de cierto modo contra
los impactos de un terremoto comn, sin embargo cuando ocurre con una
fuerza superior o antes no conocido, el impacto general ser mucho ms
grande y muy probablemente afectar tambin a nosotros.
La otra situacin es cuando aceptamos conscientemente los posibles impactos
y sus consecuencias, despus de haber realizado el anlisis de riesgo y la
definicin de las medidas de proteccin. Las razones para tomar esta decisin
pueden ser varias, sea que evitar los daos no est dentro de nuestra
posibilidad y voluntad econmica o porque no entendemos que no tenemos
suficiente poder sobre el entorno. Sea lo que sea la razn, el punto importante
es que sabemos sobre la amenaza y decidimos vivir con ella y su posible
consecuencia.
Reduccin de Riesgo
La reduccin de riesgo se logra a travs de la implementacin de Medidas de
proteccin, que basen en los resultados del anlisis y de la clasificacin de
riesgo.

Las medidas de proteccin estn divididos en medidas fsicas y tcnicas,

personales y organizativas.
En referencia al Anlisis de riesgo, el propsito de las medidas de proteccin,
en el mbito de la Seguridad Informtica, solo tienen un efecto sobre los
componentes de la Probabilidad de Amenaza, es decir aumentan nuestra
capacidad fsica, tcnica, personal y organizativa, reduciendo as nuestras
vulnerabilidades que estn expuestas a las amenazas que enfrentamos. Las
medidas normalmente no tienen ningn efecto sobre la Magnitud de Dao, que
depende de los Elementos de Informacin y del contexto, entorno donde nos
ubicamos. Es decir, no se trata y muy difcilmente se puede cambiar el valor o
la importancia que tienen los datos e informaciones para nosotros, tampoco
vamos a cambiar el contexto, ni el entorno de nuestra misin.

La fuerza y el alcance de las medidas de proteccin, dependen del nivel de

riesgo

Alto riesgo: Medidas deben evitar el impacto y dao.

Medio riesgo: Medidas solo mitigan la magnitud de dao pero no

evitan el impacto.

Considerando que la implementacin de medidas de proteccin estn en

directa relacin con inversiones de recursos econmicos y procesos operativos,
es ms que obvio, que las medidas, para evitar un dao, resultarn (mucho)
ms costosas y complejas, que las que solo mitigan un dao.
Para que las medias sean exitosas, es esencial que siempre verificamos su
factibilidad, es decir que tcnicamente funcionan y cumplen su propsito, que
estn incorporadas en los procesos operativos institucionales y que las
personas se apropian de ests. Es indispensable que estn respaldadas,
aprobadas por aplicadas por la coordinacin, porque sino, pierden su
credibilidad. Tambin significa que deben ser diseadas de tal manera, que no
paralizan o obstaculizan los procesos operativos porque deben apoyar el
cumplimiento de nuestra misin, no impedirlo.
Otro punto clave es, que las personas que deben aplicar y apropiarse de las
medias saben sobre su existencia, propsito e importancia y son capacitadas

adecuadamente en su uso, de tal manera, que las ven como una necesidad
institucional y no como otro cortapisa laboral.
Debido a que la implementacin de las medidas no es una tarea aislada, nica,
sino un proceso continuo, su manejo y mantenimiento debe estar integrado en
el funcionamiento operativo institucional, respaldado por normas y reglas que
regulan su aplicacin, control y las sanciones en caso de incumplimiento.
Control de Riesgo
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y
el cumplimiento de las medidas de proteccin, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los
responsables de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere
que levantemos constantemente registros sobre la ejecucin de las
actividades, los eventos de ataques y sus respectivos resultados. Estos
tenemos que analizados frecuentemente. Dependiendo de la gravedad, el
incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen
como resultado del control de riesgo, nos sirven como fuente de informacin,
cuando se entra otra vez en el proceso de la Anlisis de riesgo.