Un an�lisis de riesgos analiza las fuentes y niveles de riesgo de una organizaci�n, instalaci�n o sistema, en general. El trabajo de un an�lisis de riesgos consiste en una serie de pasos:
Enumerar los activos del sistema, y valorar su criticidad: Aplicaciones, equipos, materiales, recursos humanos...
Encontrar las posibles vulnerabilidades de esos activos.
Localizar las amenazas a las que se expone el sistema.
Encontrar la concurrencia de una vulnerabilidad con una amenaza. En tales casos, se identifica un RIESGO.
Valorar el nivel de riesgo, bas�ndose en la probabilidad de ocurrencia del mismo y en el da�o potencialmente causable.
Llegado el punto en el que se tenga la colecci�n completa de riesgos, se debe decidir qu� acciones tomar en cada uno de ellos:
Mitigarlo o eliminarlo, mediante medidas de protecci�n (eliminando la vulnerabilidad o la amenaza).
Trasladar la responsabilidad sobre el riesgo, por ejemplo subcontratando esa parte a un tercero.
Asumiendo el riesgo, por no ser econ�micamente rentable su eliminaci�n.
La suma de todos los riesgos asumidos constituyen el nivel de riesgo del sistema o nivel de riesgo residual.