SlideShare una empresa de Scribd logo

MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL 2022.pptx

Descargar como PPTX, PDF
S
ssuser5f7ba7

Este documento proporciona instrucciones para completar una matriz de riesgos de seguridad digital. Primero, las entidades deben haber completado una matriz de activos de información. Luego, deben analizar los posibles riesgos para esos activos, como vulnerabilidades y amenazas. La matriz de riesgos debe construirse para cada proceso y debe incluir detalles como el activo, riesgo, probabilidad, impacto y controles existentes y propuestos. El objetivo es evaluar el riesgo residual después de la implementación de controles y determinar cualquier acc

Software
1 de 9
PRODUCTO TIPO: MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL
MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL •Es un pre-requisito tener la MATRIZ DE ACTIVOS previamente estructurada (PRODUCTO TIPO – MATRIZ/INVENTARIO DE ACTIVOS DE INFORMACION). Recuerda que tanto el ejercicio de identificación de activos como de gestión de riesgos se realiza a nivel de cada proceso dentro de la entidad. 1 •Una vez las entidades han realizado la identificación, clasificación y valoración de los activos, deberán realizar un análisis de los posibles riesgos que pueden afectar a estos activos. 2 •Se debería construir una matriz de activos y una de riesgos por cada proceso de la entidad. 3 •En esta matriz se identificarán cuales son las vulnerabilidades (o debilidades) en seguridad que puede tener cada activo o grupo de activos y también se identificarán cuales son las posibles amenazas que podrían aprovechar nuestras debilidades para afectar la seguridad de los activos. 4 •La gestión de riesgos de seguridad se realiza siguiendo lo establecido en la “Guía de Administración de Riesgos de DAFP – Diciembre 2020”. Te recomendamos leer esta guía para complementar los fundamentos para usar la matríz. 5
AHORA SI ESTAMOS LISTOS, ¡DIRÍGETE A LA PLANTILLA (PRODUCTO TIPO) Y EMPECEMOS!
ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Amenazas (Ataques que se aprovechan de la vulnerabilidad) Vulnerabilidad (Debilidad que tiene el activo) Redacción que debe resumir todo el escenario de riesgos, incluyendo el tipo de riesgo, el activo (o grupo de activos), amenazas y vulnerabilidades. Indicar el proceso de la entidad al que se está realizando el análisis de riesgos Indicar el activo o grupo de activos que será analizado Indicar si el activo es tipo hardware, software, información física, digital etc… Pérdida de la Confidencialidad, Integridad o Disponibilidad
ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Frecuencia – Indica que tan posible es que la situación se materialice Revisar las escalas de probabilidad, impacto y riesgo inherente – en la Guía de Administración de riesgo DAFP Diciembre 2020 para seleccionar los valores más adecuados respecto al riesgo analizado.
ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Controles – Medidas para reducir el riesgo que se tengan actualmente. Pueden incluirse controles adicionales a los de la ISO 27001- Se debe indicar cada control hacia que va orientado (a disminuir probabilidad o el impacto de la afectación). Pocos controles tienen ambas características. La calificación máxima de un control puede ser de máximo el 50% Los controles se califican uno tras otro, es decir, se califica el control 1 y el residual (sea probabilidad o impacto) lo que se reduzca de este se califica contra el control 2 y así sucesivamente por cada control propuesto. Especificar de forma detallada en que consiste el control establecido. TIPO PREVENTIVOS, DETECTIVOS SOLO PUEDEN DISMINUIR PROBABILIDAD TIPO CORRECTIVOS SOLO PUEDEN DISMINUIR IMPACTO 2 1 3
ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Se debe calcular tanto la probabilidad o el impacto residual con base a los controles actuales, esto a su vez dará el riesgo residual final. Se deberá seleccionar la acción necesaria para reducir el nivel de riesgo si no tenemos un nivel aceptable (Reducir, Transferir, Aceptar o Evitar). Plan de acción son los controles adicionales a implementarse para reducir los riesgos.
RECOMENDACIONES PARA LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Las entidades pueden realizar análisis de riesgos tanto por activos individuales como por grupos que tengan características similares, con el objetivo de no hacer demasiado extensivo el ejercicio. Si hay activos que se diferencien por su alta criticidad, se recomienda analizarlos por separado. El responsable de seguridad de la información debe acompañar en la aplicación de la metodología y apoyar en las sesiones, sin embargo, cada proceso es el responsable de realizar el diligenciamiento, establecimiento de controles y el seguimiento correspondiente. Establecer controles que sean realizables a plazos razonables.
GRACIAS

Recomendados

Presentación de Metodologia y evaluacion de riesgos
Presentación de Metodologia y evaluacion de riesgosPresentación de Metodologia y evaluacion de riesgos
Presentación de Metodologia y evaluacion de riesgos
CarlosASolanaNeri
 
Metodología Riesgos en un trabajo de auditoria
Metodología Riesgos en un trabajo de auditoriaMetodología Riesgos en un trabajo de auditoria
Metodología Riesgos en un trabajo de auditoria
voctorgarcia
 
GUIA IPERC Oficial.pdf
GUIA IPERC Oficial.pdfGUIA IPERC Oficial.pdf
GUIA IPERC Oficial.pdf
Gonzalo Alonso Llerena Arias
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgo
Home
 
Presentacion gestion del riesgo
Presentacion gestion del riesgoPresentacion gestion del riesgo
Presentacion gestion del riesgo
AMPARO RANGEL LEON
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matriz
Alexander Velasque Rimac
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Unidad de Emprendimiento ambulante
 

Recomendados

Presentación de Metodologia y evaluacion de riesgos
Presentación de Metodologia y evaluacion de riesgosPresentación de Metodologia y evaluacion de riesgos
Presentación de Metodologia y evaluacion de riesgos
CarlosASolanaNeri
 
Metodología Riesgos en un trabajo de auditoria
Metodología Riesgos en un trabajo de auditoriaMetodología Riesgos en un trabajo de auditoria
Metodología Riesgos en un trabajo de auditoria
voctorgarcia
 
GUIA IPERC Oficial.pdf
GUIA IPERC Oficial.pdfGUIA IPERC Oficial.pdf
GUIA IPERC Oficial.pdf
Gonzalo Alonso Llerena Arias
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgo
Home
 
Presentacion gestion del riesgo
Presentacion gestion del riesgoPresentacion gestion del riesgo
Presentacion gestion del riesgo
AMPARO RANGEL LEON
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matriz
Alexander Velasque Rimac
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Unidad de Emprendimiento ambulante
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos
laurestrepo08
 
Método evaluación riesgo
Método evaluación riesgoMétodo evaluación riesgo
Método evaluación riesgo
AndreaLozano67
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
Primala Sistema de Gestion
 
METODO EVALUACION INTEGRAL DE RIESGO
METODO EVALUACION INTEGRAL DE RIESGOMETODO EVALUACION INTEGRAL DE RIESGO
METODO EVALUACION INTEGRAL DE RIESGO
AndreaLozano67
 
Procedimiento iper
Procedimiento iperProcedimiento iper
Procedimiento iper
Overallhealth En Salud
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Nicanor Sachahuaman
 
METODO EVALUACION RIESGO
METODO EVALUACION RIESGOMETODO EVALUACION RIESGO
METODO EVALUACION RIESGO
AndreaLozano67
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
revistadigital
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 
EVALUACION DE RIESGOS.pptx
EVALUACION DE RIESGOS.pptxEVALUACION DE RIESGOS.pptx
EVALUACION DE RIESGOS.pptx
lucia503084
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
Pedro David Soler Ridao
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
Pedro David Soler Ridao
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
Pedro David Soler Ridao
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
Universidad Dominicana OYM
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgo
Jhovany Lavado
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Metodos para la evaluacion integral de riesgos
Metodos para la evaluacion integral de riesgosMetodos para la evaluacion integral de riesgos
Metodos para la evaluacion integral de riesgos
RubyMoyaBenavides
 
Unidad ii riesgos laborales
Unidad ii riesgos laboralesUnidad ii riesgos laborales
Unidad ii riesgos laborales
Mileydi T Contreras C
 

Más contenido relacionado

Similar a MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL 2022.pptx

METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 

Similar a MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL 2022.pptx (20)

Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos
 
Método evaluación riesgo
Método evaluación riesgoMétodo evaluación riesgo
Método evaluación riesgo
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
METODO EVALUACION INTEGRAL DE RIESGO
METODO EVALUACION INTEGRAL DE RIESGOMETODO EVALUACION INTEGRAL DE RIESGO
METODO EVALUACION INTEGRAL DE RIESGO
 
Procedimiento iper
Procedimiento iperProcedimiento iper
Procedimiento iper
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
METODO EVALUACION RIESGO
METODO EVALUACION RIESGOMETODO EVALUACION RIESGO
METODO EVALUACION RIESGO
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
EVALUACION DE RIESGOS.pptx
EVALUACION DE RIESGOS.pptxEVALUACION DE RIESGOS.pptx
EVALUACION DE RIESGOS.pptx
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgo
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Metodos para la evaluacion integral de riesgos
Metodos para la evaluacion integral de riesgosMetodos para la evaluacion integral de riesgos
Metodos para la evaluacion integral de riesgos
 
Unidad ii riesgos laborales
Unidad ii riesgos laboralesUnidad ii riesgos laborales
Unidad ii riesgos laborales
 

MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL 2022.pptx

  • 1. PRODUCTO TIPO: MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL
  • 2. MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL •Es un pre-requisito tener la MATRIZ DE ACTIVOS previamente estructurada (PRODUCTO TIPO – MATRIZ/INVENTARIO DE ACTIVOS DE INFORMACION). Recuerda que tanto el ejercicio de identificación de activos como de gestión de riesgos se realiza a nivel de cada proceso dentro de la entidad. 1 •Una vez las entidades han realizado la identificación, clasificación y valoración de los activos, deberán realizar un análisis de los posibles riesgos que pueden afectar a estos activos. 2 •Se debería construir una matriz de activos y una de riesgos por cada proceso de la entidad. 3 •En esta matriz se identificarán cuales son las vulnerabilidades (o debilidades) en seguridad que puede tener cada activo o grupo de activos y también se identificarán cuales son las posibles amenazas que podrían aprovechar nuestras debilidades para afectar la seguridad de los activos. 4 •La gestión de riesgos de seguridad se realiza siguiendo lo establecido en la “Guía de Administración de Riesgos de DAFP – Diciembre 2020”. Te recomendamos leer esta guía para complementar los fundamentos para usar la matríz. 5
  • 3. AHORA SI ESTAMOS LISTOS, ¡DIRÍGETE A LA PLANTILLA (PRODUCTO TIPO) Y EMPECEMOS!
  • 4. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Amenazas (Ataques que se aprovechan de la vulnerabilidad) Vulnerabilidad (Debilidad que tiene el activo) Redacción que debe resumir todo el escenario de riesgos, incluyendo el tipo de riesgo, el activo (o grupo de activos), amenazas y vulnerabilidades. Indicar el proceso de la entidad al que se está realizando el análisis de riesgos Indicar el activo o grupo de activos que será analizado Indicar si el activo es tipo hardware, software, información física, digital etc… Pérdida de la Confidencialidad, Integridad o Disponibilidad
  • 5. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Frecuencia – Indica que tan posible es que la situación se materialice Revisar las escalas de probabilidad, impacto y riesgo inherente – en la Guía de Administración de riesgo DAFP Diciembre 2020 para seleccionar los valores más adecuados respecto al riesgo analizado.
  • 6. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Controles – Medidas para reducir el riesgo que se tengan actualmente. Pueden incluirse controles adicionales a los de la ISO 27001- Se debe indicar cada control hacia que va orientado (a disminuir probabilidad o el impacto de la afectación). Pocos controles tienen ambas características. La calificación máxima de un control puede ser de máximo el 50% Los controles se califican uno tras otro, es decir, se califica el control 1 y el residual (sea probabilidad o impacto) lo que se reduzca de este se califica contra el control 2 y así sucesivamente por cada control propuesto. Especificar de forma detallada en que consiste el control establecido. TIPO PREVENTIVOS, DETECTIVOS SOLO PUEDEN DISMINUIR PROBABILIDAD TIPO CORRECTIVOS SOLO PUEDEN DISMINUIR IMPACTO 2 1 3
  • 7. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Se debe calcular tanto la probabilidad o el impacto residual con base a los controles actuales, esto a su vez dará el riesgo residual final. Se deberá seleccionar la acción necesaria para reducir el nivel de riesgo si no tenemos un nivel aceptable (Reducir, Transferir, Aceptar o Evitar). Plan de acción son los controles adicionales a implementarse para reducir los riesgos.
  • 8. RECOMENDACIONES PARA LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Las entidades pueden realizar análisis de riesgos tanto por activos individuales como por grupos que tengan características similares, con el objetivo de no hacer demasiado extensivo el ejercicio. Si hay activos que se diferencien por su alta criticidad, se recomienda analizarlos por separado. El responsable de seguridad de la información debe acompañar en la aplicación de la metodología y apoyar en las sesiones, sin embargo, cada proceso es el responsable de realizar el diligenciamiento, establecimiento de controles y el seguimiento correspondiente. Establecer controles que sean realizables a plazos razonables.