MATRIZ DE ANALISIS DE RIESGO

OSCAR ASDRUBAN BUITRAGO LOPEZ

DOCENTE
NESTOR ALEJANDRO PINZON

CORPORACION UNIFICADA NACIONAL DE EDUCACION SUPERIOR CUN

BOGOTA D.C. 20 DE FEBRERO DE 2015

MATRIZ DE ANALISIS DE RIESGO

La Matriz para el Anlisis de Riesgo, es producto del proyecto de Seguimiento al

Taller Centroamericano Ampliando la Libertad de Expresin: Herramientas para la
colaboracin, informacin y comunicacin seguras y fue punto clave en analizar y
determinar los riesgos en el manejo de los datos e informacin de las
organizaciones sociales participantes. La Matriz, que bas en una hoja de calculo,
no dar un resultado detallado sobre los riesgos y peligros de cada recurso
(elemento de informacin) de la institucin, sino una mirada aproximada y
generalizada de estos.
Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy
extenso y consumidor de tiempo, porque requiere que se compruebe todos los
posibles daos de cada recurso de una institucin contra todas las posibles
amenazas, es decir terminaramos con un sinnmero de grafos de riesgo que
deberamos analizar y clasificar. Por otro lado, hay que reconocer que la mayora
de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni
cuentan con personal tcnico especfico para los equipos de computacin, ni con
recursos econmicos o mucho tiempo para dedicarse o preocuparse por la
seguridad de la informacin que manejan y en muchas ocasiones tampoco por la
formacin adecuada de sus funcionarios en el manejo de las herramientas
informticas.
Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar
los recursos de una organizacin, que estn ms en peligro de sufrir un dao por
algn impacto negativo, para posteriormente ser capaz de tomar las decisiones y
medidas adecuadas para la superacin de las vulnerabilidades y la reduccin de
las amenazas.

RIESGO

Riesgo es la vulnerabilidad ante un potencial perjuicio o dao para las unidades,

personas, organizaciones o entidades (en general "bienes jurdicos protegidos").
Cuanto mayor es la vulnerabilidad mayor es el riesgo, pero cuanto ms factible es
el perjuicio o dao, mayor es el peligro. Por tanto, el riesgo se refiere slo a la
terica "posibilidad de dao" bajo determinadas circunstancias, mientras que el
peligro se refiere slo a la terica "probabilidad de dao" bajo esas circunstancias.
Por ejemplo, desde el punto de vista del riesgo de daos a la integridad fsica de

las personas, cuanto mayor es la velocidad de circulacin de un vehculo en

carretera mayor es el "riesgo de dao" para sus ocupantes, mientras que cuanto
mayor es la imprudencia al conducir mayor es el "peligro de accidente" (y tambin
es mayor el riesgo del dao consecuente).

RIESGO INFORMATICO.

En arquitectura de computadores, un riesgo es un problema potencial que puede

ocurrir en un procesador segmentado. Tpicamente los riesgos se clasifican en
tres tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.
Las instrucciones de un procesador segmentado son ejecutadas en varias etapas,
de modo que en un momento dado se encuentran en proceso varias instrucciones,
y puede que stas no sean completadas en el orden deseado.
Un riesgo aparece cuando dos o ms de estas instrucciones simultneas
(posiblemente fuera de orden) entran en conflicto.
Riesgos de datos
Artculo principal: Dependencia de datos
Los riesgos de datos ocurren cuando stos son modificados. El ignorar riesgos de
datos potenciales puede resultar en condiciones de carrera (a veces llamadas
riesgos de carrera). Hay tres situaciones en las que puede aparecer un riesgo de
datos:
Read after Write (RAW) o dependencia verdadera: Un operando es modificado
para ser ledo posteriormente. Si la primera instruccin no ha terminado de escribir
el operando, la segunda estar utilizando datos incorrectos.
Write after Read (WAR) o anti-dependencia: Leer un operando y escribir en l en
poco tiempo. Si la escritura finaliza antes que la lectura, la instruccin de lectura
utilizar el nuevo valor y no el antiguo.
Write after Write (WAW) o dependencia de salida: Dos instrucciones que escriben
en un mismo operando. La primera en ser emitida puede que finalice en segundo
lugar, de modo que el operando final no tenga el valor adecuado.
Los operandos envueltos en riesgos de datos pueden residir en memoria o en
registros.

Riesgos estructurales
Un riesgo estructural sucede cuando parte del hardware del procesador es
necesario para ejecutar dos o ms instrucciones a la vez. Puede ocurrir, por
ejemplo, si un programa intenta ejecutar una instruccin de salto seguida de una
operacin matemtica. Puesto que son ejecutadas de forma paralela y los saltos
son tpicamente lentos (requieren realizar una comparacin, operar
matemticamente sobre el contador de programa y escribir en registros), es
bastante posible (dependiendo de la arquitectura) que la instruccin de
computacin y la de salto requieran la ALU (unidad aritmtico lgica) al mismo
tiempo.
Riesgos de salto o de control
Los riesgos de salto o de control ocurren cuando el procesador se ve obligado a
saltar a una instruccin que no tiene por qu ser necesariamente la
inmediatamente siguiente en el cdigo. En ese caso, el procesador no puede
saber por adelantado si debera ejecutar la siguiente instruccin u otra situada
ms lejos en el cdigo.
Esto puede resultar en acciones no deseadas por parte de la CPU.
Eliminacin de riesgos
Existen varias tcnicas para tanto prevenir riesgos como para solucionar los
problemas derivados de su aparicin.
Insercin de burbujas
La insercin de burbujas es un mtodo para prevenir la aparicin de riesgos de
datos, estructurales y de salto. Una vez que las instrucciones son capturadas, la
lgica de control determina si podra o va a ocurrir un riesgo. Si es cierto, la lgica
de control inserta una instruccin NOP (No Operation). De esta manera, antes de
la instruccin siguiente (la que causa el riesgo) sea ejecutada, la anterior tendr
tiempo suficiente para completarse y prevenir el riesgo. Si el nmero de NOP
insertadas es igual al nmero de etapas de la segmentacin, el procesador puede
trabajar sin amenazas de riesgos.

ANALISIS DE RIESGO

El anlisis de riesgos informticos es un proceso que comprende la identificacin

de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a
fin de determinar los controles adecuados para aceptar, disminuir, transferir o
evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas
financieras o administrativas a una empresa u organizacin, se tiene la necesidad
de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta
mediante la aplicacin de controles. Dichos controles, para que sean efectivos,
deben ser implementados en conjunto formando una arquitectura de seguridad
con la finalidad de preservar las propiedades de confidencialidad, integridad y
disponibilidad de los recursos objetos de riesgo.

EVALUACION DE UNA MATRIZ DE RIESGO

La OIG identificar, documentar y evaluar los riesgos inherentes y residuales

utilizando el AMS y calificar cada uno con uno de los tres niveles de riesgo:

I - Crtico

II - Importante

III - Sugerido

LISTA DE CHEQUEO DE UNA MATRIZ DE RIESGO

MATRIZ DE ANALISIS DE RIESGO

Uso de la Matriz
La Matriz verdadera la bas en un archivo con varias hojas de calculo que superan
el tamao de una simple pantalla de un monitor. Entonces por razones
demostrativas, en las siguientes imgenes solo se muestra una fraccin de ella.

La Matriz contiene una coleccin de diferentes Amenazas (campos verdes) y

Elementos de informacin (campos rojos). Para llenar la Matriz, tenemos que
estimar los valores de la Probabilidad de Amenaza (campos azules) por cada
Amenaza y la Magnitud de Dao (campos amarillas) por cada Elemento de
Informacin.

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre
el nivel de riesgo que corre cada elemento de informacin de sufrir un dao
significativo, causado por una amenaza, sino tambin sobre las medidas de
proteccin necesarias
Proteger los datos de RR.HH, Finanzas contra virus
Proteger los datos de Finanzas y el Coordinador contra robo
Evitar que se compartan las contraseas de los porttiles
Tambin, como se mencion anteriormente, existen combinaciones que no
necesariamente tienen mucho sentido y por tanto no se las considera para definir
medidas de proteccin
Proteger el Personal (Coordinador y Personal tcnico) contra Virus de
computacin
Evitar la falta de corriente para el Coordinador.

BIBLIOGRAFIA

http://es.wikipedia.org/wiki/Riesgo
https://protejete.wordpress.com/gdr_principal/matriz_riesgo/
http://es.wikipedia.org/wiki/Riesgo_%28inform%C3%A1tica%29
http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico
https://www.google.com.co/webhp?sourceid=chromeinstant&ion=1&espv=2&ie=UTF8#q=como+se+evalua+una+matriz+de+riesgo+informatico
http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklistpara.html
https://protejete.wordpress.com/gdr_principal/matriz_riesgo/