ANÁLISIS DE RIESGOS

Para realizar el proceso de análisis y evaluación de riesgos, se debe proceder de la

siguiente manera:
Primero tener en cuenta la tabla consolidada de las vulnerabilidades, amenazas y
riesgos que fueron detectados inicialmente y cada estudiante debe elegir los riesgos
que aplican en cada proceso seleccionado.
En segundo lugar, deben tener en cuenta los resultados de la aplicación de los
instrumentos de recolección de información de las entrevistas donde el entrevistado
mencione la existencia de riesgos o fallas en el proceso evaluado y listas de
chequeo donde las respuestas de No significa que no existen controles y se
convierten en riesgo potenciales. Todas estas preguntas que fueron trasladadas al
cuestionario para confirmar la existencia de esos nuevos riesgos.
Luego cada estudiante debe tomar de la lista de riesgos inicial, los riesgos que
correspondan o estén directamente relacionados con el proceso de CobIT que se
está auditando y adicionarle los riesgos que fueron encontrados en la aplicación de
los instrumentos de recolección de información y que se confirmaron con la
aplicación del cuestionario.
Con todos estos riesgos iniciales y los de la aplicación de las entrevistas y listas de
chequeo, se elabora una lista consolidada de los riesgos para cada uno de los
procesos auditados.
A continuación, se muestra un ejemplo del análisis y evaluación de los riesgos que
debe ser aplicado por cada estudiante para el proceso CobIT que le haya sido
asignado o haya elegido. Para el ejemplo se han enumerado algunos riesgos de
diferentes procesos para que no sean copiados directamente y se analice de la lista
de riesgos que se ha obtenido en cada proceso.
RIESGOS PROCESO XXX:
Lista de riesgos iniciales para el proceso
1. Instalación de programas sin fines académicos
2. Equipos con bajo rendimiento
3. Daño en el sistema eléctrico de los equipos de computo
4. Insatisfacción por parte de estudiantes que hacen uso del servicio internet
de la universidad
Lista de riesgos resultado de aplicación de entrevista y lista de chequeo
5. No hay una hoja de vida de la existencia de los equipos
6. La ventilación del aula no es la adecuada
 7. No existe monitorio continuo de software instalado en los equipos de
computo
8. Robo de partes de los equipos de computo
9. No es posible detectar movimientos fraudulentos a los equipos de cómputo
Una vez se tiene identificados los riesgos en cada proceso, se hace una lista para
su posterior análisis y evaluación, para ello hay que tener en cuenta que la
evaluación se hace por probabilidad de que llegue a ocurrir el riesgo o la frecuencia
con que está sucediendo el problema y por otro lado el impacto que puede ocurrir
de llegar a suceder ese evento o en caso de concretarse la falla.
La probabilidad tiene su escala de medición y se refiere a la frecuencia con se
presenta el problema en un periodo de tiempo determinado, es decir el número de
veces que el problema se presenta en un año, mes o semana de acuerdo a la escala
de tiempo elegida. Por ejemplo la frecuencia de que se presente un virus en los
computadores puede llegar a darse una o varias veces en la semana, un corte de
energía puede presentarse una vez cada dos meses, el daño de un equipo puede
presentarse cada seis meses. De acuerdo a estas escalas se debe hacer la
medición teniendo la escala de valoración cualitativa (alto, medio, bajo)
El impacto se refiere a lo que puede llegar a suceder en la empresa o un área
específica si la falla se presenta y que consecuencias traería a toda la organización
o a determinados procesos. Para este caso hay que analizar si el problema una vez
se ha concretado afecta a toda la organización, a un macro proceso o un área de la
empresa, o si por el contrario solo afecta a una persona o proceso en la empresa.
Para este caso la escala definida es leve si solamente afecta a una persona o
proceso, moderado si afecta a un grupo de personas o un macro proceso o un área
funcional, o puede ser catastrófico si afecta a toda la empresa.
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS
Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%
PROBABILIDAD

Medio Zona de riesgo Zona de riesgo Zona de riesgo

31-60% Tolerable Moderado Importante

Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable
Leve Moderado Catastrófico

IMPACTO
Esta matriz de riesgos es una manera gráfica de presentar los riesgos en un mapa,
donde se identifica inicialmente los riesgos, se mide la probabilidad e impacto de
acuerdo a las escalas presentadas anteriormente, y se traslada los riesgos a esta
matriz.
En la matriz se puede identificar los riesgos de mayor probabilidad e impacto en
color rojo, luego en color naranja los de riesgo importante, el color amarillo para los
riesgos moderados, y el color verde para los riesgos de nivel tolerable y aceptable
A continuación se muestra un ejemplo para la valoración de los riesgos en cada uno
de los procesos seleccionados, hay que tener en cuenta que los riesgos deben estar
relacionados con el proceso evaluado, de acuerdo a los resultados de la aplicación
de los instrumentos de recolección de información aplicados donde se debe
descubrir las nuevas vulnerabilidades, amenazas y riesgos, también se pueden
tomar algunos de los riesgos ya evidenciados en la tabla consolidada que se entregó
en el trabajo colaborativo 1 de vulnerabilidades, amenazas y riesgos iniciales.
ANALISIS Y EVALUACIÓN DE RIESGOS
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Instalación de X X
programas sin fines
académicos
R2 Equipos con bajo X X
rendimiento
R3 Daño en el sistema X X
eléctrico de los equipos
de computo
R4 Insatisfacción por parte X X
de estudiantes que
hacen uso del servicio
internet de la
universidad
R5 No hay una hoja de X X
vida de la existencia de
los equipos
R6 Sobrecalentamiento de X X
equipos de computo
R7 No existe monitorio X X
continuo de software
instalado en los
equipos de computo
R8 Robo de partes de los X X
equipos de computo
R9 No es posible detectar X X
movimientos
 fraudulentos a los
equipos de cómputo

Esta tabla debe llenarse con los riesgos identificados para cada proceso auditado,
inicialmente con los que fueron identificados en la tabla de vulnerabilidades,
amenazas y riesgos inicial y que tengan relación con el proceso auditado.
Posteriormente con los riesgos identificados con la aplicación de los instrumentos
en cada proceso.
Resultado Matriz de riesgos para hardware

R4, R7 R1
Alto
61-100%
PROBABILIDAD

Medio R2, R5 R6
31-60%

Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico

IMPACTO

Esta matriz se usará posteriormente para determinar el tratamiento de los riesgos

en cada proceso CobIT.