La existencia de riesgos es el motivo principal que nos obliga a emprender actividades relacionadas con la seguridad. No tendría sentido invertir medios y dinero en medidas de seguridad y de control si no existieran riesgos para la organización.

El análisis de riesgos se compone de una serie de pasos que forman la línea básica de trabajo para posteriormente establecer la seguridad de los sistemas de información. Serivrá para establecer prioridades y ayuda al desarrollo de una estrategía de seguridad basada en el riesgo.

El análisis de riegos de InnoTec System incluye las siguientes actividades:

• Identificar los límites y las necesidades de seguridad del sistema de información
• Analizar las amenazas y riesgos para el sistema y su probabilidad
• Seleccionar medidas de control para proteger el sistema y valorando el coste/esfuerzo para implementarlas
• Valorar la situación de seguridad y presentar los riesgos residuales al propietario del sistema

Cuando se encuentran fisuras entre los requerimientos de seguridad y los controles implantados, senecesita un análisis para determinar si un riesgo significativo está presente o no y valorar posibles impactos en el sistema.

En el entorno de gestión del riesgo hay que destacar dos principios fundamentales:

• El de proporcionalidad: que se refiere a que la smedidas que se tomen deben ser proporcionales al impacto.
• El de confianza, en el sentido de que las medidas deben proporcionar confianza y seguridead en los sistemas e informacióny, por tanto, hay que considerar los factores que generan esta confianza a la hora de implantar medidas de seguridad.