Análisis de Riesgos
Evaluar el Riesgo Inherente y establecer las Medidas de Seguridad Técnicas y Organizativas establecidas por el Reglamento General de Protección de Datos

Según establece el Reglamento General de Protección de Datos, un Análisis de Riesgos es un conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a las amenazas mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como las Medidas de Seguridad Técnicas y Organizativas.

Fases de un Análisis de Riesgos

Las diferentes secuencias del Análisis de Riesgos que establece el Reglamento General de Protección de Datos podrían englobarse en las siguientes:

Descripción del proyecto

Se trata de identificar y describir el proyecto de Análisis de Riesgos estableciendo los motivos por los que se realiza y los objetivos que se pretenden alcanzar

Equipo auditor

Nombramiento de todo el equipo auditor que llevará a cabo las diferentes fases del Análisis de Riesgos, nombrando a un Responsable de Proyecto, uno o varios Técnicos Auditores, el DPO o Responsable de Privacidad y a uno o varios Responsables de Salvaguardas, es decir, las personas o entidades responsables de implementar las Medidas de Seguridad Técnicas y Organizativas, que generalmente es el Administrador de Sistemas.

Establecimiento del contexto o alcance

Establecer el alcance del Análisis de Riesgos, es decir, qué prestadores de servicios se deben tener en cuenta, qué actividades de tratamiento, qué usuarios de datos y que puntos de control de datos o infraestructura se va a analizar.

Determinar los escenarios de amenazas

Dependiendo de la infraestructura utilizada para el almacenamiento y el procesamiento de datos, así como las actividades de tratamientos de datos personales que se realizan, se deberán determinar los diferentes escenarios de amenazas que pudieran poner en riesgo la confidencialidad, disponibilidad e integridad de los datos.

Identificación de los riesgos

En base a los diferentes escenarios de amenazas determinados, se deben identificar los posibles riesgos que entraña cada amenaza, para posteriormente realizar una evaluación y tomar decisiones que minimicen tales riesgos.

Evaluación del riesgo Inherente

Una vez determinadas las posibles amenazas y riesgos, se deberá valorar la probabilidad de ocurrencia (depreciable, limitada, significativa y máxima) y el impacto que produciría (irrelevante, leve, grave, muy grave), tras lo cual, se calcula el riesgo inherente (bajo, medio, alto y muy alto) y se toma una decisión en base a la valoración (reducir, anular, asumir o transferir)

Establecimiento de las salvaguardas

En base a las amenazas y riesgos detectados, se determinarán las medidas de seguridad técnicas y organizativas a implementar para tratarlos (salvaguardas).

Plan de aplicabilidad

Tras el establecimiento de las medidas de seguridad técnicas y organizativas, se desarrollará un plan de aplicabilidad de las mismas, o lo que es lo mismo, un programa para que el responsable del tratamiento de los datos proceda a implementar cada una de las salvaguardas, todo ello en base al nivel de gravedad de los riesgos atendiendo, en primer lugar, los más graves.

Conclusiones del equipo auditor

Cada uno de los miembros del equipo auditor deberá documentar sus propias conclusiones y recomendaciones.

Informes documentales y gráficos

Se redactará uno o varios informes del proyecto de Análisis de Riesgos, entre los que se destacan:

  • Informe de Amenazas
  • Informe de Riesgos
  • Informe de Salvaguardas
  • Informes gráficos de probabilidad e impacto
Seguimiento y auditorías

Los Análisis de Riesgos no deben ser procesos con acotación temporal, sino que serán evaluaciones que se auditarán con periodicidad para determinar y evaluar la eficiencia de las salvaguardas y la posible existencia de nuevas amenzas y riesgos.

Cómo hacer un Análisis de Riesgos

Cómo realizar el Análisis de Riesgos requerido por el Reglamento General de Protección de Datos (RGPD / GDPR) con un programa informático (tuRGPD.es). Se establece el contexto, las normativas, catálogos de amenazas, riesgos, evaluación del riegos inherente y el riesgo residual, así como la gestión de implementación de las salvaguardas o medidas de seguridad técnicas y organizativas. Permite la edición de todo tipo de informes y gráficos del Análisis de Riesgos realizado, a fin de cumplir con el Reglamento General de Protección de Datos (RGPD / GDPR)