Es un Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Este proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. El RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados.
Este análisis del riesgo variará en función de:
- Los tipos de tratamiento.
- La naturaleza de los datos.
- El número de interesados afectados.
- La cantidad y variedad de tratamientos que realice una misma organización.
El análisis de riesgos puede ser utilizado para determinar lo siguiente:
El nivel de riesgo de la información y los datos. El nivel de riesgo puede ser definido como la probabilidad de que un riesgo se convierta en una amenaza de seguridad de datos para la información y los datos.
El impacto de los riesgos. El impacto de los riesgos se define como la magnitud de la pérdida o el daño que resulta de la ocurrencia de una amenaza de seguridad de la información.
Las amenazas de seguridad de información. Las amenazas son la posibilidad de que un problema de seguridad de la información ocurra.
Las vulnerabilidades de la seguridad de información. Las vulnerabilidades son el resultado de una debilidad en la seguridad de la información, que pueden ser explotadas por una amenaza.
Las medidas de seguridad. Las medidas de seguridad son las medidas que pueden ser utilizadas para reducir el riesgo de la información y los datos.
Para hacer un análisis de riesgos, necesita los siguientes datos:
Identificación de los riesgos. Por ejemplo, se puede obtener información sobre los riesgos de la información y los datos de los informes de auditoría, actividades de seguridad de la información y el uso de la información.
Identificación de las vulnerabilidades. Por ejemplo, se puede obtener información sobre la información y los datos de los informes de auditoría, actividades de seguridad de la información y el uso de la información.
Identificación de medidas de seguridad. Por ejemplo, se puede obtener información sobre la información y los datos de los informes de auditoría, actividades de seguridad de la información y el uso de la información.