• Enumerar los activos del sistema, y valorar su criticidad: Aplicaciones, equipos, materiales, recursos humanos...
• Encontrar las posibles vulnerabilidades de esos activos.
• Localizar las amenazas a las que se expone el sistema.
• Encontrar la concurrencia de una vulnerabilidad con una amenaza. En tales casos, se identifica un RIESGO.
• Valorar el nivel de riesgo, bas�ndose en la probabilidad de ocurrencia del mismo y en el da�o potencialmente causable.

Llegado el punto en el que se tenga la colecci�n completa de riesgos, se debe decidir qu� acciones tomar en cada uno de ellos:

• Mitigarlo o eliminarlo, mediante medidas de protecci�n (eliminando la vulnerabilidad o la amenaza).
• Trasladar la responsabilidad sobre el riesgo, por ejemplo subcontratando esa parte a un tercero.
• Asumiendo el riesgo, por no ser econ�micamente rentable su eliminaci�n.

La suma de todos los riesgos asumidos constituyen el nivel de riesgo del sistema o nivel de riesgo residual.