Este documento proporciona instrucciones para completar una matriz de riesgos de seguridad digital. Primero, las entidades deben haber completado una matriz de activos de información. Luego, deben analizar los posibles riesgos para esos activos, como vulnerabilidades y amenazas. La matriz de riesgos debe construirse para cada proceso y debe incluir detalles como el activo, riesgo, probabilidad, impacto y controles existentes y propuestos. El objetivo es evaluar el riesgo residual después de la implementación de controles y determinar cualquier acc
2. MATRIZ DE RIESGOS DE
SEGURIDAD DIGITAL
•Es un pre-requisito tener la MATRIZ DE ACTIVOS previamente estructurada (PRODUCTO TIPO –
MATRIZ/INVENTARIO DE ACTIVOS DE INFORMACION). Recuerda que tanto el ejercicio de identificación
de activos como de gestión de riesgos se realiza a nivel de cada proceso dentro de la entidad.
1
•Una vez las entidades han realizado la identificación, clasificación y valoración de los activos, deberán
realizar un análisis de los posibles riesgos que pueden afectar a estos activos.
2
•Se debería construir una matriz de activos y una de riesgos por cada proceso de la entidad.
3
•En esta matriz se identificarán cuales son las vulnerabilidades (o debilidades) en seguridad que puede
tener cada activo o grupo de activos y también se identificarán cuales son las posibles amenazas que
podrían aprovechar nuestras debilidades para afectar la seguridad de los activos.
4
•La gestión de riesgos de seguridad se realiza siguiendo lo establecido en la “Guía de Administración de
Riesgos de DAFP – Diciembre 2020”. Te recomendamos leer esta guía para complementar los
fundamentos para usar la matríz.
5
4. ESTRUCTURA DE LA MATRIZ DE
RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Amenazas
(Ataques que
se aprovechan
de la
vulnerabilidad)
Vulnerabilidad
(Debilidad que
tiene el activo)
Redacción que debe resumir todo el
escenario de riesgos, incluyendo el tipo
de riesgo, el activo (o grupo de activos),
amenazas y vulnerabilidades.
Indicar el proceso
de la entidad al
que se está
realizando el
análisis de
riesgos
Indicar el activo o
grupo de activos
que será
analizado
Indicar si el
activo es tipo
hardware,
software,
información
física, digital etc…
Pérdida de la
Confidencialidad,
Integridad o
Disponibilidad
5. ESTRUCTURA DE LA MATRIZ DE
RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Frecuencia –
Indica que tan
posible es que
la situación se
materialice
Revisar las escalas de
probabilidad, impacto y riesgo
inherente – en la Guía de
Administración de riesgo DAFP
Diciembre 2020 para
seleccionar los valores más
adecuados respecto al riesgo
analizado.
6. ESTRUCTURA DE LA MATRIZ DE
RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Controles – Medidas
para reducir el riesgo
que se tengan
actualmente.
Pueden incluirse
controles adicionales
a los de la ISO 27001-
Se debe indicar cada
control hacia que va
orientado (a disminuir
probabilidad o el
impacto de la
afectación). Pocos
controles tienen ambas
características.
La calificación
máxima de un control
puede ser de máximo
el 50%
Los controles se califican uno tras
otro, es decir, se califica el control 1
y el residual (sea probabilidad o
impacto) lo que se reduzca de este
se califica contra el control 2 y así
sucesivamente por cada control
propuesto.
Especificar de forma
detallada en que
consiste el control
establecido.
TIPO PREVENTIVOS, DETECTIVOS SOLO PUEDEN DISMINUIR PROBABILIDAD
TIPO CORRECTIVOS SOLO PUEDEN DISMINUIR IMPACTO
2
1
3
7. ESTRUCTURA DE LA MATRIZ DE
RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Se debe calcular tanto la probabilidad o el
impacto residual con base a los controles
actuales, esto a su vez dará el riesgo
residual final.
Se deberá seleccionar la acción necesaria
para reducir el nivel de riesgo si no
tenemos un nivel aceptable (Reducir,
Transferir, Aceptar o Evitar). Plan de
acción son los controles adicionales a
implementarse para reducir los riesgos.
8. RECOMENDACIONES PARA LA MATRIZ
DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Las entidades pueden realizar análisis
de riesgos tanto por activos
individuales como por grupos que
tengan características similares, con el
objetivo de no hacer demasiado
extensivo el ejercicio.
Si hay activos que se diferencien por
su alta criticidad, se recomienda
analizarlos por separado.
El responsable de seguridad de la
información debe acompañar en la
aplicación de la metodología y apoyar
en las sesiones, sin embargo, cada
proceso es el responsable de realizar
el diligenciamiento, establecimiento
de controles y el seguimiento
correspondiente.
Establecer controles que sean
realizables a plazos razonables.