El análisis de riesgos es, por definición, el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
Históricamente se ha utilizado como una herramienta de decisión en entornos financieros y de seguridad, si bien, es una herramienta que utilizamos de forma inconsciente en nuestra vida cotidiana: desde que nos despertamos, la elección de nuestras acciones viene determinada en función de los riesgos, desde elegir la ropa que nos ponemos (cogemos el abrigo si sabemos que va a hacer frio, o el paraguas si está nublado, ¿Pero por qué? Porque la probabilidad de pasar frío o mojarnos es alta y si se confirma el hecho, las consecuencias no son deseables), hasta la elección de movernos en coche o coger transporte público, dependiendo del tráfico.
Existen diferentes metodologías que desarrollan un método formal para realizar este estudio, algunas reconocidas internacionalmente como Magerit v.3 o la ISO 31000:2018. Es importante seleccionar un método, ya que también por definición un análisis de riesgos formal debe reunir tres condiciones: deber ser objetivo, repetible y comparable.
Independientemente de la metodología escogida se debería comenzar por conocer qué es lo que nos preocupa o sobre qué queremos hacer el estudio (en el entorno de una EIPD, en el ámbito del Reglamento General de Protección de Datos, sería el tratamiento de datos personales), para posteriormente identificar qué posibles eventos podrían suceder que lo pusieran en peligro (identificación de escenarios de riesgos).
Dichos escenarios de riesgos deberán ser analizados en dos sentidos: por un lado estimar la frecuencia de ocurrencia de dicho escenario, y por otro, supuesta la materialización del escenario, qué posibles daños podría ocasionar. Para ello, se deberán establecer criterios de impacto (en el caso de las EIPD, en el ámbito del RGPD, cómo se ven afectados los derechos y las libertades de los individuos) y escalas del daño (por ejemplo: bajo, medio y alto).
La fórmula del riesgo es sencilla: Riesgo = Frecuencia x Impacto. Para ello, normalmente se suelen establecer matrices de riesgo, donde se representa gráficamente dicha relación.
Ejemplo de matriz de riesgo
El siguiente paso, es evaluar los riesgos e indicar qué riesgos son aceptables y cuáles no lo son, y por lo tanto van a requerir de un tratamiento.
En el siguiente punto, se propondrán posibles acciones para tratar el riesgo. Existen diferentes opciones: acciones dirigidas a reducir el riesgo, ya sea reduciendo la probabilidad o el daño, para evitar el riesgo, trasladar el riesgo a un tercero o, en última instancia, asumir el riesgo.
Esta última acción, debería ser por defecto la última opción, debe ser una decisión de la alta dirección y debe estar justificada.
El último paso consiste en estimar cómo de efectivo se estima que sea el tratamiento, para finalmente calcular el riesgo residual, el cual, debe ser comunicado a la alta dirección y debe ser aprobado por la misma.
El equipo de profesionales de Govertis
KEEP READING