|
Un análisis de riesgos analiza las fuentes y niveles de riesgo de una organización, instalación o sistema, en general. El trabajo de un análisis de riesgos consiste en una serie de pasos:
|
 |
- Enumerar los activos del sistema, y valorar su criticidad: Aplicaciones, equipos, materiales, recursos humanos...
- Encontrar las posibles vulnerabilidades de esos activos.
- Localizar las amenazas a las que se expone el sistema.
- Encontrar la concurrencia de una vulnerabilidad con una amenaza. En tales casos, se identifica un RIESGO.
- Valorar el nivel de riesgo, basándose en la probabilidad de ocurrencia del mismo y en el daño potencialmente causable.
|
|
Llegado el punto en el que se tenga la colección completa de riesgos, se debe decidir qué acciones tomar en cada uno de ellos:
|
|
- Mitigarlo o eliminarlo, mediante medidas de protección (eliminando la vulnerabilidad o la amenaza).
- Trasladar la responsabilidad sobre el riesgo, por ejemplo subcontratando esa parte a un tercero.
- Asumiendo el riesgo, por no ser económicamente rentable su eliminación.
|
|
La suma de todos los riesgos asumidos constituyen el nivel de riesgo del sistema o nivel de riesgo residual.
|
|
