Matriz de Riesgos de Ciberseguridad

Quieres aprender más?

📋 Información General

Documento: Matriz de Riesgos de Ciberseguridad
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: CISO, Risk Manager, Board de Directores, C-Level Executives

Establecer una matriz comprensiva de identificación, evaluación y monitoreo de riesgos de ciberseguridad para DivisionCero, proporcionando un framework estructurado para la gestión proactiva de amenazas cyber y la toma de decisiones informadas sobre tratamiento de riesgos.

🏢 Alcance

Esta política aplica a:

Todos los riesgos de ciberseguridad que afecten operaciones de DivisionCero
Sistemas de información, infraestructura tecnológica y datos corporativos
Procesos de negocio dependientes de tecnología
Terceros y proveedores con acceso a sistemas críticos
Regulaciones de ciberseguridad y compliance aplicables

📚 Definiciones

Riesgo de Ciberseguridad: Probabilidad de pérdida, daño o destrucción como resultado de amenazas cyber
Amenaza: Circunstancia o evento con potencial de causar daño a sistemas o información
Vulnerabilidad: Debilidad que puede ser explotada por una amenaza
Impacto: Consecuencias potenciales de la materialización de un riesgo
Probabilidad: Likelihood de que una amenaza explote una vulnerabilidad específica

🛡️ Política

Framework de Gestión de Riesgos

Metodología de Evaluación de Riesgos

Proceso de Identificación de Riesgos:

Asset Inventory y Classification
- Catalogación de activos críticos de información
- Clasificación según criticidad y sensibilidad
- Mapeo de dependencias entre sistemas
- Identificación de owners y custodians
Threat Landscape Analysis
- Intelligence de amenazas específicas a la industria
- Análisis de threat actors relevantes
- Evaluación de vectores de ataque emergentes
- Monitoring de geopolitical risks
Vulnerability Assessment
- Evaluaciones técnicas automatizadas
- Penetration testing y red team exercises
- Code review y secure architecture assessments
- Third-party security assessments
Risk Scenario Development
- Desarrollo de escenarios realistas de ataque
- Modelado de attack paths y kill chains
- Análisis de cascading effects
- Business impact assessment

Escala de Evaluación de Riesgos

Probabilidad (Likelihood):

Nivel	Descripción	Criterios	Frecuencia Esperada
5 - Muy Alta	Casi Certeza	Amenaza activa, vulnerabilidades críticas conocidas	>1 vez por mes
4 - Alta	Probable	Amenazas frecuentes, vulnerabilidades importantes	1 vez por trimestre
3 - Media	Posible	Amenazas ocasionales, vulnerabilidades moderadas	1 vez por año
2 - Baja	Improbable	Amenazas raras, vulnerabilidades menores	1 vez cada 3 años
1 - Muy Baja	Casi Imposible	Amenazas teóricas, vulnerabilidades mínimas	Menos de 1 vez cada 5 años

Impacto (Impact):

Nivel	Descripción	Criterios Financieros	Criterios Operacionales	Criterios Reputacionales
5 - Catastrófico	Amenaza existencial	Más de $10M pérdida	Más de 72h outage crítico	Pérdida significativa de confianza
4 - Mayor	Impacto severo	$1M-$ 10M pérdida	24-72h outage	Cobertura negativa sostenida
3 - Moderado	Impacto significativo	$100K-$ 1M pérdida	4-24h outage	Cobertura negativa temporal
2 - Menor	Impacto limitado	$10K-$100K pérdida	1-4h outage	Impacto reputacional mínimo
1 - Insignificante	Impacto mínimo	Menos de $10K pérdida	Menos de 1h outage	Sin impacto reputacional

Matriz de Riesgo (Probabilidad x Impacto):

      │  1    2    3    4    5   │ Impacto
      │ Insig Menor Mod  Mayor Cat│
  ────┼─────────────────────────┼─────────
  5 MA│  5    10   15   20   25 │ 20-25: Crítico
  4 A │  4    8    12   16   20 │ 15-19: Alto  
  3 M │  3    6    9    12   15 │ 8-14:  Medio
  2 B │  2    4    6    8    10 │ 4-7:   Bajo
  1 MB│  1    2    3    4    5  │ 1-3:   Muy Bajo
  ────┼─────────────────────────┼─────────
Prob  │

Catálogo de Riesgos de Ciberseguridad

Categoría 1: Riesgos de Amenazas Externas

R001 - Advanced Persistent Threats (APT)

Descripción: Ataques sofisticados y persistentes por actores nation-state o criminal organizations
Amenazas: Nation-state actors, organized cybercrime groups
Vulnerabilidades: Complex attack surfaces, insider access, supply chain weaknesses
Probabilidad: Alta (4) | Impacto: Catastrófico (5) | Riesgo: 20 (Crítico)
Controles Actuales: Advanced EDR, threat hunting, network segmentation
Riesgo Residual: Alto (15)

R002 - Ransomware

Descripción: Cifrado malicioso de sistemas y datos con demanda de rescate
Amenazas: Ransomware-as-a-Service groups, opportunistic attackers
Vulnerabilidades: Unpatched systems, poor backup practices, email security gaps
Probabilidad: Alta (4) | Impacto: Mayor (4) | Riesgo: 16 (Alto)
Controles Actuales: Backup strategies, email filtering, endpoint protection
Riesgo Residual: Medio (12)

R003 - DDoS Attacks

Descripción: Ataques de denegación de servicio distribuido
Amenazas: Botnet operators, hacktivist groups, competitors
Vulnerabilidades: Internet-facing services, insufficient DDoS protection
Probabilidad: Media (3) | Impacto: Moderado (3) | Riesgo: 9 (Medio)
Controles Actuales: Cloud-based DDoS protection, traffic monitoring
Riesgo Residual: Bajo (6)

R004 - Supply Chain Attacks

Descripción: Compromiso a través de proveedores de software o servicios
Amenazas: Nation-state actors, sophisticated criminal groups
Vulnerabilidades: Third-party dependencies, poor vendor security assessment
Probabilidad: Media (3) | Impacto: Mayor (4) | Riesgo: 12 (Medio)
Controles Actuales: Vendor assessment program, software composition analysis
Riesgo Residual: Medio (9)

Categoría 2: Riesgos de Amenazas Internas

R005 - Malicious Insider

Descripción: Empleados o contratistas que actúan maliciosamente
Amenazas: Disgruntled employees, compromised insiders, criminal insiders
Vulnerabilidades: Privileged access, insufficient monitoring, poor background checks
Probabilidad: Baja (2) | Impacto: Mayor (4) | Riesgo: 8 (Bajo)
Controles Actuales: Background checks, access controls, user activity monitoring
Riesgo Residual: Bajo (6)

R006 - Negligent Insider

Descripción: Errores no maliciosos que resultan en incidentes de seguridad
Amenazas: Human error, insufficient training, process gaps
Vulnerabilidades: Complex procedures, insufficient automation, poor training
Probabilidad: Alta (4) | Impacto: Moderado (3) | Riesgo: 12 (Medio)
Controles Actuales: Security awareness training, automated controls, procedures
Riesgo Residual: Medio (9)

Categoría 3: Riesgos Tecnológicos

R007 - Cloud Security Misconfiguration

Descripción: Configuraciones inseguras en servicios de nube
Amenazas: Automated scanners, opportunistic attackers
Vulnerabilidades: Complex cloud configurations, insufficient governance
Probabilidad: Alta (4) | Impacto: Mayor (4) | Riesgo: 16 (Alto)
Controles Actuales: Cloud security posture management, configuration baselines
Riesgo Residual: Medio (12)

R008 - Application Vulnerabilities

Descripción: Vulnerabilidades en aplicaciones desarrolladas internamente
Amenazas: Automated vulnerability scanners, targeted attackers
Vulnerabilidades: Secure coding gaps, insufficient testing, technical debt
Probabilidad: Alta (4) | Impacto: Moderado (3) | Riesgo: 12 (Medio)
Controles Actuales: SAST/DAST herramientas, secure development lifecycle
Riesgo Residual: Bajo (6)

R009 - Legacy System Vulnerabilities

Descripción: Sistemas obsoletos con vulnerabilidades conocidas
Amenazas: Opportunistic attackers, automated exploit herramientas
Vulnerabilidades: Unpatched systems, end-of-life software, poor isolation
Probabilidad: Media (3) | Impacto: Moderado (3) | Riesgo: 9 (Medio)
Controles Actuales: Network segmentation, compensating controls, migration planning
Riesgo Residual: Bajo (6)

Categoría 4: Riesgos de Compliance y Regulatorios

R010 - GDPR Non-Compliance

Descripción: Violaciones de regulaciones de protección de datos
Amenazas: Regulatory enforcement, privacy violations
Vulnerabilidades: Complex data flows, insufficient privacy controls
Probabilidad: Media (3) | Impacto: Mayor (4) | Riesgo: 12 (Medio)
Controles Actuales: Privacy by design, data mapping, consent management
Riesgo Residual: Bajo (6)

R011 - SOX Compliance Gaps

Descripción: Deficiencias en controles internos financieros
Amenazas: Financial misstatement, regulatory penalties
Vulnerabilidades: Manual processes, insufficient segregation of duties
Probabilidad: Baja (2) | Impacto: Mayor (4) | Riesgo: 8 (Bajo)
Controles Actuales: Automated financial controls, regular audits
Riesgo Residual: Bajo (4)

Categoría 5: Riesgos de Terceros

R012 - Vendor Security Breach

Descripción: Incidente de seguridad en proveedor crítico afecta DivisionCero
Amenazas: Vendor compromises, shared infrastructure attacks
Vulnerabilidades: Limited vendor oversight, shared security dependencies
Probabilidad: Media (3) | Impacto: Mayor (4) | Riesgo: 12 (Medio)
Controles Actuales: Vendor risk assessment, contractual security requirements
Riesgo Residual: Medio (9)

R013 - Cloud Provider Outage

Descripción: Interrupción de servicios de proveedores de nube críticos
Amenazas: Technical failures, natural disasters, cyber attacks on CSP
Vulnerabilidades: Single points of failure, insufficient redundancy
Probabilidad: Media (3) | Impacto: Mayor (4) | Riesgo: 12 (Medio)
Controles Actuales: Multi-cloud strategy, disaster recovery plans
Riesgo Residual: Medio (9)

Risk Heat Map Visualization

Risk Distribution by Category (Q1 2025):

Categoria               │ Crítico │ Alto │ Medio │ Bajo │ Total
─────────────────────────┼─────────┼──────┼───────┼──────┼──────
Amenazas Externas       │    1    │  2   │   2   │  0   │  5
Amenazas Internas       │    0    │  0   │   1   │  1   │  2
Riesgos Tecnológicos    │    0    │  1   │   2   │  0   │  3
Compliance/Regulatorio  │    0    │  0   │   1   │  1   │  2
Terceros               │    0    │  0   │   2   │  0   │  2
─────────────────────────┼─────────┼──────┼───────┼──────┼──────
Total                   │    1    │  3   │   8   │  2   │ 14

Tratamiento de Riesgos

Estrategias de Tratamiento

Riesgos Críticos (20-25):

Estrategia: Mitigar inmediatamente
Timeline: 30 días para plan de acción, 90 días para implementación
Ownership: CISO con oversight del CEO
Reporting: Semanal al Board hasta mitigación

Riesgos Altos (15-19):

Estrategia: Mitigar dentro de timeline establecido
Timeline: 60 días para plan de acción, 180 días para implementación
Ownership: Risk owner con supervisión del CISO
Reporting: Mensual al comité de riesgo

Riesgos Medios (8-14):

Estrategia: Mitigar o monitorear según cost-benefit
Timeline: 90 días para decisión, 365 días para implementación
Ownership: Area manager con coordinación de risk manager
Reporting: Trimestral en risk register review

Riesgos Bajos (4-7):

Estrategia: Monitorear o aceptar
Timeline: Review anual para determinar cambios
Ownership: Risk owner local
Reporting: Anual en comprehensive risk assessment

Plan de Tratamiento por Riesgo

R001 - APT (Crítico):

Acciones Inmediatas: Enhanced threat hunting, network micro-segmentation
Inversiones Planificadas: Advanced SOC capabilities, threat intelligence platform
Timeline: Q1-Q2 2025
Budget: $2.5M
Success Metrics: Reduction en dwell time, improved detection rate

R002 - Ransomware (Alto):

Acciones Inmediatas: Backup validation, email security enhancement
Inversiones Planificadas: Immutable backup solution, extended EDR
Timeline: Q1-Q3 2025
Budget: $800K
Success Metrics: Zero successful ransomware deployments

R007 - Cloud Misconfiguration (Alto):

Acciones Inmediatas: Configuration audit, policy enforcement
Inversiones Planificadas: Cloud Security Posture Management platform
Timeline: Q1-Q2 2025
Budget: $400K
Success Metrics: 95% compliance with cloud security baselines

Monitoreo y Reporting

Key Risk Indicators (KRIs)

Threat Landscape KRIs:

Number of targeting campaigns identified
Increase in relevant threat actor activity
New vulnerability disclosures affecting DivisionCero
Threat intelligence alerts requiring action

Control Effectiveness KRIs:

Security control failure rate
Mean time to detect incidents
Patch compliance percentage
Security awareness training completion rate

Business Impact KRIs:

Revenue at risk from cyber threats
Customer data records under protection
Recovery time objective achievement
Cyber insurance premium trends

Reporting Framework

Weekly Risk Dashboard:

Top 5 risks by score
New risks identified
Risk treatment progress
KRI trend analysis

Monthly Risk Committee Report:

Risk register updates
Treatment plan progress
Emerging threats assessment
Budget utilization for risk mitigation

Quarterly Board Report:

Risk posture assessment
Heat map evolution
Investment recommendations
Regulatory compliance status

Annual Risk Assessment:

Comprehensive risk landscape review
Risk appetite alignment assessment
Control maturity evaluation
Strategic risk treatment planning

Risk Appetite Integration

Risk Tolerance Thresholds

By Risk Category:

Confidentiality Risks: Zero tolerance for material data exposure
Availability Risks: Maximum 99.9% uptime target (8.77 hours downtime/year)
Integrity Risks: Zero tolerance for material data corruption
Compliance Risks: Zero tolerance for material regulatory violations

By Business Function:

Customer-Facing Systems: High availability, medium confidentiality tolerance
Financial Systems: High integrity, low availability tolerance acceptable
Development Environments: Medium tolerance across all dimensions
HR Systems: High confidentiality, medium availability tolerance

Decision Framework

Risk Acceptance Criteria:

Residual risk score ≤ risk appetite threshold
Cost of mitigation > 3x annual loss expectancy
Alternative controls provide equivalent protection
Business justification approved by risk committee

Investment Prioritization:

Regulatory/Compliance Requirements: Mandatory investments
Critical Risk Mitigation: Risks exceeding appetite
Strategic Enablers: Investments supporting business growth
Efficiency Improvements: Optimization of existing controls

👥 Roles y Responsabilidades

Board de Directores: Aprobar apetito de riesgo y supervisar postura general
CISO: Gestionar programa de riesgos y reportar al Board
Risk Manager: Mantener registro de riesgos y coordinar evaluaciones
Risk Owners: Implementar tratamientos y monitorear controles
Business Units: Identificar riesgos operacionales y participar en evaluaciones

📊 Cumplimiento y Medición

Indicadores de Efectividad del Programa:

Porcentaje de riesgos críticos mitigados dentro de timeline (100%)
Exactitud de evaluaciones de riesgo validada por incidentes (≥80%)
Cobertura de evaluación de activos críticos (100%)
Participación de stakeholders en proceso de riesgo (≥95%)

Métricas de Madurez:

Risk management maturity score según framework establecido
Integration de risk management en procesos de negocio
Quality de threat intelligence y risk scenarios
Effectiveness de risk communication a stakeholders

🚨 Incumplimiento

Riesgos críticos no mitigados en timeline requieren escalamiento a CEO
Risk owners que no cumplan con responsabilidades enfrentan performance review
Falta de reporte de riesgos nuevos puede resultar en medidas disciplinarias
Decisiones de risk acceptance sin authorization apropiada requieren review

📖 Referencias

NIST Cybersecurity Framework 2.0 - Identify and Govern Functions
ISO 27005:2022 - Information Security Risk Management
COSO Enterprise Risk Management Framework
FAIR (Factor Analysis of Information Risk) Methodology
ENISA Threat Landscape Reports

📝 Control de Versiones

Versión	Fecha	Cambios	Autor
1.0.0	Enero 2025	Versión inicial	Equipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025