Llegados a este punto, te habrás preguntado como abordar la gestión de los riesgos en la empresa. El análisis de los riesgos es el primer paso en la gestión de riesgos. Debemos dar respuesta a preguntas como:

• ¿Qué elementos necesitan protección?
• ¿Cuáles son las vulnerabilidades de esos elementos?
• ¿Qué amenazas pueden aprovechar esas vulnerabilidades?

En definitiva, valorar la magnitud del riesgo.

Aunque se podrían establecer múltiples clasificaciones, en este caso vamos a dividir el desarrollo de dicho proceso en tres subprocesos:

• Identificación de riesgos: lista de riesgos potenciales que pueden afectar a la organización.
• Análisis de riesgos: medición de la probabilidad y el impacto de cada riesgo, y los niveles de riesgo de los métodos alternativos.
• Evaluación de riesgos: lista de riesgos ordenados por su impacto y su probabilidad de ocurrencia

Todo este proceso está fundamentado en una base teórica. Tomando como base metodológica a, MAGERIT de España, se define de la siguiente manera según el ministerio de política territorial y administración pública:

Sus principales objetivos son:

• Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
• Ofrecer un método sistemático para analizar tales riesgos.
• Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
• Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

Como puedes ver, el enfoque que tiene MAGERIT es el de evaluar los riesgos desde el punto de vista de un sistema de información, es decir, no es algo específico de sistemas informáticos.