MAGNITUD Y PLAN DE ACCIÓN E IMPACTO DE RIESGOS

GESTIÓN DE RIESGOS DE CIBERSEGURIDAD

David Enrique Torres Uribe

Fundamentos de la Ciberseguridad
500 - 458272
Postítulo Seguridad de la Información y Ciberseguridad,
Universidad UNIACC
Docente, Sr. Carlos Alejandro Villagra Coulon
01 de abril de 2024
 5 PASOS DE UTILIZACIÓN
GESTIÓN DE RIESGOS EN CIBERSEGURIDAD
DE MATRIZ DE RIESGOS
El principal objetivo de la Gestión de Riesgos es alcanzar el
equilibrio óptimo entre la minimización de vulnerabilidades y
pérdidas y las ganancias y oportunidades de la organización.
Paso 01 Identifica los riesgos

En otras palabras llevar el riesgo a niveles que sean

aceptables por la organización. Determina la gravedad
Paso 02
La Gestión de Riesgos debe vigilar que éste no tenga del riesgo

impacto significativo en los procesos críticos de negocio.

Evalúa la probabilidad de
Como es sabido, el riesgo es inherente a toda actividad, Paso 03
ocurrencia
por lo tanto se debe realizar una gestión para garantizar la
preservación de la compañía.
Calcula el impacto del
Paso 04
En la presente, haremos una simulación de un caso en riesgo
donde aplicaremos los conceptos y herramientas de evaluación,
para finalmente entregar nuestras recomendaciones o consejos.
Paso 05 Prioriza los riesgos
 MATRIZ DE RIESGO, PROBABILIDAD E IMPACTO

Muy probable 5 5 10 13 20 25

Probable 4 4 8 12 16 20

Posible 3 3 6 9 12 15

Improbable 2 2 4 6 8 10

Muy improbable 1 1 2 3 4 5

PROBABILIDAD X 1 2 3 4 5

IMPACTO Insignificante Menor Moderado Importante Catastrófico

Crítico (17-25)

Alto (13-16)

Medio (7-12)

Bajo (1-6)
MATRIZ DE CLASIFICACIÓN ID
RIESGO
(Declaración de la descripción)
IMPACTO
(Cuantitativo)
PROBABILIDAD
(Cuantitativo)
RIESGO
(Cualitativo)
CONTROL
(Tratamiento del riesgo)
DEL RIESGO
Infraestructura; fallas en hardware Plan de actualización de hardware o
R.001 de servidores con posible Importante (4) Probable (4) Alto (16) migración a Cloud Storage o
indisponibilidad de la información Computing

La Matriz de Clasificación del

Implementar sistemas de
R.002 Datos; pérdida o falta de integridad Catastrófico (5) Probable (4) Crítico (20)
Riesgo es una herramienta esencial redundancia de datos

en la etapa de levantamiento para R.003

Software y Sistemas Operativos;
Moderado (3) Posible (3) Medio (9)
Implementar servicio de
obsoletos o sin actualizar actualizaciones programadas
evaluar y clasificar los riesgos que
Plan de actualización de hardware
Respaldos; fallas de hardware o
enfrenta una organización. R.004
configuración
Catastrófico (5) Posible (3) Alto (15) de sistemas respaldo o migración a
Cloud Storage

Acceso; no autorizado o malas Implementación de políticas de

Se puede utilizar para ayudar a R.005 Importante (4) Probable (4) Alto (16)
prácticas acceso, IAM y uso de 2FA o MFA.

la organización a tomar decisiones Planes de evacuación de personal,

resguardo de la información y
sobre cómo mitigar los riesgos. R.006 Desastres; naturales o terrorismo Catastrófico (5) Improbable (2) Medio (10)
adquirir seguros de vida y de bienes
o activos

Plan de hardening de borde y

R.007 Ataques; hackers o ex-empleados Importante (4) Posible (3) Medio (12)
endpoints

Implementar sistemas de
Alimentación; fallas o corte del
R.008 Catastrófico (5) Improbable (2) Medio (10) redundancia de suministro y UPS en
suministro
servicios críticos

Plan de hardening de borde y

Robos; de información o
R.009 Catastrófico (5) Probable (4) Crítico (20) endpoints, aplicación de Políticas de
exposición de confidencialidad
Seguridad
 RECOMENDACIONES Y CONCLUSIÓN

Dada la intención de la empresa en investigación de mejorar, actualizar sus sistemas de información y servicios, además, dirigirse hacia los
estándares de una transformación digital efectiva. Y basándonos en los resultados arrojados desde la evaluación de riesgos y también por la matriz
de clasificación, se recomienda e indica lo siguiente:

PaaS, IaaS y SaaS (Plataformas como Servicios, Infraestructuras como Servicios y Softwares como Servicios): La
llegada del Cloud Computing beneficia directamente a la empresa investigada. Ofreciendo por un bajo costo o pagando de
acuerdo a lo utilizado, servicios e infraestructuras que se adaptan a las necesidades que se desean cubrir.

Políticas de Seguridad, ISO/IEC 27001:2022 y 27002:2022, COBIT, ITIL, DRI, NIST CSF v2.0 : Estándares,
normativas y marcos de trabajo que se recomiendan encarecidamente para mantener un ecosistema correcto del uso,
administración e infraestructura de la información interna y externamente.

ISO. (2018). ISO 31000:2028, Gestión del Riesgo, Directrices. Organización Internacional de Normalización.
https://www.iso.org/obp/ui/es/#iso:std:iso:31000:ed-2:v1:es

INCIBE. (s. f.) Gestión de riesgos. Una guía de aproximación para el empresario.
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf

ASANA. (2024). Matriz de riesgos: cómo evaluar los riesgos para lograr el éxito del proyecto.
https://asana.com/es/resources/risk-matrix-template