Evaluar el Riesgo Inherente y establecer las Medidas de Seguridad Técnicas y Organizativas establecidas por el Reglamento General de Protección de Datos
Según establece el Reglamento General de Protección de Datos, un Análisis de Riesgos es un conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a las amenazas mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como las Medidas de Seguridad Técnicas y Organizativas.
Fases de un Análisis de Riesgos
Las diferentes secuencias del Análisis de Riesgos que establece el Reglamento General de Protección de Datos podrían englobarse en las siguientes:
Se trata de identificar y describir el proyecto de Análisis de Riesgos estableciendo los motivos por los que se realiza y los objetivos que se pretenden alcanzar
Nombramiento de todo el equipo auditor que llevará a cabo las diferentes fases del Análisis de Riesgos, nombrando a un Responsable de Proyecto, uno o varios Técnicos Auditores, el DPO o Responsable de Privacidad y a uno o varios Responsables de Salvaguardas, es decir, las personas o entidades responsables de implementar las Medidas de Seguridad Técnicas y Organizativas, que generalmente es el Administrador de Sistemas.
Establecer el alcance del Análisis de Riesgos, es decir, qué prestadores de servicios se deben tener en cuenta, qué actividades de tratamiento, qué usuarios de datos y que puntos de control de datos o infraestructura se va a analizar.
Dependiendo de la infraestructura utilizada para el almacenamiento y el procesamiento de datos, así como las actividades de tratamientos de datos personales que se realizan, se deberán determinar los diferentes escenarios de amenazas que pudieran poner en riesgo la confidencialidad, disponibilidad e integridad de los datos.
En base a los diferentes escenarios de amenazas determinados, se deben identificar los posibles riesgos que entraña cada amenaza, para posteriormente realizar una evaluación y tomar decisiones que minimicen tales riesgos.
Una vez determinadas las posibles amenazas y riesgos, se deberá valorar la probabilidad de ocurrencia (depreciable, limitada, significativa y máxima) y el impacto que produciría (irrelevante, leve, grave, muy grave), tras lo cual, se calcula el riesgo inherente (bajo, medio, alto y muy alto) y se toma una decisión en base a la valoración (reducir, anular, asumir o transferir)
En base a las amenazas y riesgos detectados, se determinarán las medidas de seguridad técnicas y organizativas a implementar para tratarlos (salvaguardas).
Tras el establecimiento de las medidas de seguridad técnicas y organizativas, se desarrollará un plan de aplicabilidad de las mismas, o lo que es lo mismo, un programa para que el responsable del tratamiento de los datos proceda a implementar cada una de las salvaguardas, todo ello en base al nivel de gravedad de los riesgos atendiendo, en primer lugar, los más graves.
Cada uno de los miembros del equipo auditor deberá documentar sus propias conclusiones y recomendaciones.
Se redactará uno o varios informes del proyecto de Análisis de Riesgos, entre los que se destacan:
- Informe de Amenazas
- Informe de Riesgos
- Informe de Salvaguardas
- Informes gráficos de probabilidad e impacto
Los Análisis de Riesgos no deben ser procesos con acotación temporal, sino que serán evaluaciones que se auditarán con periodicidad para determinar y evaluar la eficiencia de las salvaguardas y la posible existencia de nuevas amenzas y riesgos.
Cómo hacer un Análisis de Riesgos
Cómo realizar el Análisis de Riesgos requerido por el Reglamento General de Protección de Datos (RGPD / GDPR) con un programa informático (tuRGPD.es). Se establece el contexto, las normativas, catálogos de amenazas, riesgos, evaluación del riegos inherente y el riesgo residual, así como la gestión de implementación de las salvaguardas o medidas de seguridad técnicas y organizativas. Permite la edición de todo tipo de informes y gráficos del Análisis de Riesgos realizado, a fin de cumplir con el Reglamento General de Protección de Datos (RGPD / GDPR)