1. Hemos dicho que para diseñar una matriz de control deben ponerse los componentes en las filas y las amenazas en las columnas. Los primeros indican los recursos que se quieren proteger y las segundas son los eventos negativos que los afectan. En la gestión de riesgo, es importante tener en cuenta que tanto los componentes como las amenazas deben ser previamente priorizados en el proceso de calificación.
La evaluación también se hace a través del análisis de seis niveles. A la matriz de control de riesgos se le adiciona la multiplicación de cada intersección entre la amenaza y el componente; además, se incluye un número indicador de mayor a menor puntaje, según la operación anterior.
Si hay un puntaje repetido, se asigna el mismo valor a dos celdas diferentes con el fin de generar así una priorización que luego permitirá demarcar las zonas de acuerdo con el riesgo que generan, ya sea alto, medio o bajo. Siguiendo el ejemplo que hemos explicado aquí, la matriz debe verse de esta forma:
2. Después, se elabora una matriz de amenazas, componentes y controles, uno de los métodos para evaluar el riesgo más comunes. Estos últimos se enumeran y se adicionan sobre la intersección que controla la amenaza que afecta a un componente.
En este punto, se deberá determinar cuál es la celda más sensible, que en el caso de la matriz de control siempre estará ubicada en el extremo superior izquierdo. Asimismo, se debe definir si los controles aplicados son suficientes para cada celda, en especial las de alto riesgo. En caso de que no sean suficientes, se deben proponer nuevos controles. De esa manera, se establece cuál es la celda menos sensible y se revisa si los controles aplicados son excesivos.
3. Luego de esto, se realizará un análisis de acuerdo con el mayor o menor número de controles y se decidirá si son suficientes o excesivos, recordando siempre la necesidad de controlar la amenaza y proteger el componente.
4. A continuación se observan los componentes, teniendo en cuenta la suficiencia y la efectividad de los controles aplicados.
5. Por último, se examinan las amenazas para saber si están correctamente controladas. La matriz de amenazas, componentes y controles debe ser así: