UNIVERSIDAD POLITÉCNICA SALESIANA

ELECTIVA II

MATRICES PARA APLICAR ANÁLISIS DE RIESGOS EN LA

IMPLEMENTACIÓN DE SEGURIDADES FÍSICAS
Fonseca Rojano Otto Alejandro
ofonseca@est.ups.edu.ec
Valencia Barragán Karina Lizeth
kvalencia@est.ups.edu.ec

RESUMEN: En el presente documento se  Crear la matriz de riegos inherente de la

muestra la elaboración de una matriz de riesgos implementación física de una empresa
inherentes y una matriz de riesgos residuales, para delimitar y priorizar los riesgos
orientados a los accesos físicos, los cuales serán primarios.
analizados para determinar el nivel de perjuicio
que pueden generar en una empresa, además de 2. MARCO TEÓRICO
verificar cuales pueden ser los problemas que se 2.1 MATRIZ DE RIESGO
generen con respecto a la seguridad y que tan Una matriz de riesgo constituye una herramienta
grande puede ser el impacto que ocasionen. de control y de gestión normalmente utilizada
para identificar las actividades (procesos y
PALABRAS CLAVES: Matriz de riesgos productos) más importantes de una empresa, el
inherentes, Matriz de riesgos residuales. tipo y nivel de riesgos inherentes a estas
actividades y los factores exógenos y endógenos
1. OBJETIVOS relacionados con estos riesgos (factores de
riesgo). Igualmente, una matriz de riesgo permite
1.1 GENERAL evaluar la efectividad de una adecuada gestión y
 Analizar los posibles riesgos en la administración de los riesgos financieros que
implementación física mediante la pudieran impactar los resultados y por ende al
elaboración de matrices de riesgos logro de los objetivos de una organización.
inherentes y de riesgos residuales para la (Amaya, 2013)
identificación de las posibles
vulnerabilidades. La matriz debe ser una herramienta flexible que
documente los procesos y evalúe de manera
1.2 ESPECÍFICOS integral el riesgo de una institución, a partir de los
 Crear la matriz de riegos de la cuales se realiza un diagnóstico objetivo de la
implementación física de una empresa situación global de riesgo de una entidad. Exige
para detectar posibles anomalías. la participación activa de las unidades de
negocios, operativas y funcionales en la

definición de la estrategia institucional de riesgo
de la empresa. Una efectiva matriz de riesgo
permite hacer comparaciones objetivas entre
proyectos, áreas, productos, procesos o de la peligrosidad que puede resultar para una
actividades. Todo ello constituye un soporte
conceptual y funcional de un efectivo Sistema
Integral de Gestión de Riesgo. (Barroso, 2012)
2.2 MATRIZ DE RIESGO INHERENTE
El riesgo inherente es intrínseco a toda actividad,
surge de la exposición y la incertidumbre de
probables eventos o cambios en las condiciones
del negocio o de la economía que puedan
impactar una actividad. Los factores o riesgos
inherentes pueden no tener el mismo impacto
sobre el riesgo agregado, siendo algunos más
relevantes que otros, por lo que surge la
necesidad de ponderar y priorizar los riesgos
primarios. Los riesgos inherentes al negocio de
las entidades financieras pueden ser clasificados
en riesgos crediticios, de mercado y liquidez,
operacionales, legales y normativos estratégicos.
(Marcos Sotelo Bedón, 2012)
3. DESARROLLO Y PROCEDIMIETO
3.1 Análisis de la matriz de riesgo inherente
Los riesgos de accesos físicos en la actualidad
son una vía potencial de ataques en una
empresa, al igual que los accesos lógicos son
vulnerables a diferentes ataques y ponen en
riesgo los equipos donde se está generando la
información.
En la primera matriz tenemos los riesgos
inherentes que detallan el riesgo y una breve
descripción de la misma y la valoración que se le
2
SEGURIDAD DE LA INFORMACION
da a cada una según su nivel de riesgo como se
muestra en la tabla 1.
Los riesgos pueden variar de nivel dependiendo
empresa y el alcance económico que puede
tener, los riesgos que se puede considerar son
los siguientes:
 Desastres Naturales: En nuestro país
debido a nuestra ubicación, podemos ser
víctimas de desastres naturales que
pueden afectar tanto la infraestructura y
los equipos como tal, en este caso se lo
ubico como un riesgo de nivel medio por
su gran probabilidad de que suceda, para
lo cual se sugiere la implementación de
las medidas de prevención para posibles
eventos inesperados.
 Instalaciones Eléctricas: las fallas por
instalaciones eléctricas pueden ser
producidas por:
Sobrecarga: cuando a este se añaden
cargas que no están previstos para que
el sistema les pueda suministrar la
corriente que necesitan para su
funcionamiento. A medida que se va
agregando cargas al circuito, el consumo
de corriente aumenta. En este caso se
activan las protecciones eléctricas
(fusibles o disyuntores) para evitar que
se sobrecalienten los conductores.
Cortocircuitos: Este se produce cuando
existe un camino de baja resistencia por
donde puede circular la corriente. Al ser
la resistencia baja, existe un aumento
drástico de la corriente eléctrica.
 SEGURIDAD DE LA INFORMACION

Perdida de aislamiento: los cables que

suministran la energía eléctrica a los
equipos, con el tiempo se envejecen y se
desgastan, tanto por vibraciones y el
ambiente al que están expuestos, para
limitar estas fallas, se instala el cable de
puesta a tierra, para desviar el flujo de
corriente, y evitar el daño de equipos.
Para lo cual se sugiere la realizar un
chequeo de las conexiones eléctricas,
para evitar un posible apagón.
 Sobrecalentamiento: Puede ser
generado por una inapropiada conexión a
tierra física en la instalación eléctrica, por
lo que se recomienda conectar los
equipos a un regulador y de ser posible, Tabla 1. Matriz de riesgo inherente.
después del regulador un equipo ups.
Los equipos deben estar en un lugar de Con la valoración de cada uno de los riesgos que
buena ventilación. Para lo que se se observan en la tabla 1 podemos obtener el
recomienda mantener los equipos en mapeo de riesgos que se ven en la figura 1.
constate mantenimiento. (Electrónica)
 Robo: Un descuido puede ocasionar el
ingreso de terceros que atenten contra
los equipos llevándose información
valiosa.
 Deterioro: Equipos llevan mucho tiempo
de funcionamiento sin un correcto
mantenimiento y se deben reemplazar.
 Espacio físico: Se requiere un correcto
espacio para los equipos que se van a
utilizar.
 Incendio: Provocado por una mala
conexión o un descuido del personal.

Figura 1. Mapeo de riesgo inherente.

3
 SEGURIDAD DE LA INFORMACION

Existen tres zonas que indican el nivel de riesgo

de cada amenaza, calificado de la siguiente
manera la zona roja con los riesgos de nivel alto,
con amarillo los riesgos de nivel medio y por
último el verde con riesgos de nivel bajo.
Para el caso de nuestra matriz de riesgo
inherente podemos observar que se tiene más
nivel de riesgo en una posible falla eléctrica y en
un robo, puesto que en estos dos casos los
elementos afectados de la empresa son
directamente económicos ya sea por el robo de
equipos donde se tiene la información o un
apagón que podría ser el origen de una falla
eléctrica que impediría el funcionamiento de la
Tabla 2. Matriz de riesgo residual.
empresa y generarían grandes pérdidas.
Al igual que en la matriz inherente tenemos un
mapeo de riesgo residual que tiene las mismas
3.2 Análisis de la matriz de riesgo residual
características de la anterior, indicándonos las
Luego tenemos la matriz de riesgo residual que al
zonas de riesgo como se explicó anteriormente.
igual que la anterior nos muestra las mismas
características, pero con la diferencia de calificar
el nivel de riesgo si es inherente u su criticidad
para poder tener una mejor comprobación de los
riesgos como se observa en la siguiente tabla.
La característica de este tipo de matriz es que se
puede observar el nivel de riesgo antes de que
ocurra y sus posibles secuelas, esto nos hace
apreciar de mejor manera cuales serían los casos
en los que un daño puede generar más
problemas al sistema.

En nuestra Tabla 2 podemos distinguir que al

ocurrir un ataque el riesgo que dejaría con Figura 2. Mapeo de riesgo residual.
mayores problemas a una empresa puede ser los En el caso del mapeo de riesgo residual tenemos
desastres naturales, puesto que pueden los casos de los desastres naturales y el robo son
ocasionar un daño tal que afectaría todos los las que tienen mayor probabilidad de generar
medios físicos de la empresa. problemas en una empresa, los accesos físicos

4
 SEGURIDAD DE LA INFORMACION

que generan más riesgo se han catalogado de Marcos Sotelo Bedón, J. T. (2012). COMTEL.
esa manera según el rango del mapeo. Recuperado el 12 de 01 de 2019, de
http://www.comtel.pe/comtel2012/callforpa
4. CONCLUSIONES per2012/P26C.pdf
 Las matrices de riesgo son muy importantes
Serra, C. (2010). DATASEC. Recuperado el 28
para el control y gestión de riesgo que
de Diciembre de 2016, de
realizan la identificación de las estos
http://www.isaca.org/chapters8/Montevide
procesos anormales que se pueden
o/cigras/Documents/cigras2011-cserra-
organizar según la actividad el tipo y el nivel
presentacion1%20modo%20de%20compa
de riesgo que puedan afectar a la empresa.
tibilidad.pdf
 Las matrices realizan una documentación de
los procesos y evalúan integralmente el
riesgo por el cual pueda atravesar la
empresa, donde es más comúnmente
utilizada esta herramienta, a partir de los
cuales se realiza un diagnóstico objetivo de
la situación global de riesgo.

5. BIBLIOGRAFÍA
Amaya, C. G. (14 de Mayo de 2013). We live
Security. Recuperado el 12 de 01 de
2019, de :
https://www.welivesecurity.com/la-
es/2013/05/14/magerit-metodologia-
practica-para-gestionar-riesgos/

Barroso, J. G. (Octubre de 2012). Esquema

Nacional de Seguridad . Recuperado el 12
de 01 de 2019, de https://www.ccn-
cert.cni.es/documentos-publicos/1789-
magerit-libro-i-metodo/file.html

Electrónica, P. d. (s.f.). Recuperado el 12 de 01

de 2019, de PAE:
https://administracionelectronica.gob.es/p
ae_Home/pae_Documentacion/pae_Meto
dolog/pae_Magerit.html#.XDqiO9Izbhk