Los riesgo que cada compañía puede encarar y tolerar son muy diferentes; la naturaleza del negocio o la hostilidad del ambiente pueden ser factores importantes. Los riesgos más comunes pueden ser:

• Daño físico: desastres naturales, guerra, actos de terrorismo, fuego, inundaciones, vandalismo, pérdida de poder, robo.
• Malfuncionamiento de equipo: falla de computadores, ruteadores, puentes, pérdida de la conectividad, pérdida de la energía.
• Error humano: actividades que pueden corromper o publicar información
• Errores de aplicación: errores de cómputo, errores en los búferes, corrupción de datos, errores de interoperabilidad.

Los peligros requieren ser identificados, clasificados por categorías junto con la pérdida potencial de las pérdidas. El riesgo en un ambiente real es difícil de medir pero utilizando categorías se pueden obtener decisiones que ayudarán.

Teniendo en cuenta que riesgo es la posibilidad de que un evento suceda podemos definir a la Gestión del Riesgo como el proceso de identificar, censar y reducir el riesgo a un nivel aceptable e implantar los mecanismos correctos para mantener el nivel deseado. En materia de seguridad informática no existe nada 100% libre de riesgo, todo ambiente tiene vulnerabilidades y niveles de riesgo. La habilidad del profesional de la seguridad informática es poder identificarlos, obtener su probabilidad de ocurrencia y el daño que pudieran producir; mediante estas acciones se podrán elegir los pasos correctos para poder reducirlo.

El riesgo no está relacionado en todas las ocasiones con la tecnología, existe riesgo que se puede presentar de otras formas. El riesgo financiero es un ejemplo; evaluación de proyectos y elección de los mismos dentro de un portafolio de proyectos es una decisiones que debe ser tomada cuidadosamente. La elección incorrecta de proyectos a invertir o la cantidad inapropiada de inversión puede llevar pérdidas a la compañía o exponerla a un riesgo innecesario a cambio de un rendimiento muy bajo. El lanzamiento de un producto nuevo al mercado conlleva acciones y estudios que permiten conocer el público objetivo, saber su preferencia y obtener así un plan de negocios adecuado con riesgo minimizado; introducir sin hacer los respectivos estudios implica la aceptación o negligencia a una situación con gran exposición que pueden ser causa de defectos del producto, mala publicidad, mala ubicación del público o simplemente por situaciones circunstanciales no ser el momento adecuado.

1. Identificación del riesgo
2. Administración del riesgo
3. Análisis cualitativo del riesgo
4. Análisis cuantitativo del riesgo
5. Plan de respuesta al riesgo
6. Monitoreo y control del riesgo

La siguiente figura muestra cómo la gestión del riesgo es un proceso cíclico que no tiene fin. La continua repetición del mismo es importante para ajustarse a los cambios que la compañía en donde se implementa está enfrentando.

Dentro de la gestión de riesgo existen actividades de análisis del mismo. Mientras que la gestión del riesgo es un proceso, el análisis es una metodología que ayuda a identificar los activos y asociarles riesgos y daños potenciales si no se toman contra medidas adecuadas.

El análisis de riesgo es utilizado para asegurar que los esfuerzos de seguridad tienen una relación costo – beneficio aceptable, que las acciones son relevantes, están realizadas en tiempo y responden a verdaderos peligros. Si estos estudios no se realizaran y las actividades de seguridad se llevaran por acciones impulsivas y empíricas no se podría saber si el esfuerzo mayor protege al activo más preciado o está mitigando una vulnerabilidad con alto riesgo de poderse materializar. Sea el caso de una dependencia gubernamental encargada de realizar obtener las declaraciones de sus contribuyentes; la gran utilización de la tecnología es evidente, si ella no se podría recaudar y el gobierno tendría pérdidas en impuestos. Para realizar todo el proceso es necesario contratar proveedores externos, expertos en tecnología y logística. La interacción de todos ellos es lo que hace posible la recaudación. El público interno que maneja esta dependencia de gobierno es altamente técnico y la información que manejan altamente sensible y expuesta. Sin hacer un estudio de riesgos se podría implantar tantos detectores de intrusos y firewalls se supusiera fueran necesarios para filtrar la navegación de los proveedores. Esta acción no necesariamente es la que protege al activo más preciado (la información de contribuyentes) sino que sólo controla un recurso que tal vez encerrando en un perímetro fuera suficiente en lugar de hacer todo un despliegue económico y tecnológico.

1. Activos identificados y su valor asociado,
2. Riesgos identificados,
3. Peligros potenciales con su frecuencia de ocurrencia y daños potenciales cuantificados,
4. Contra medidas que mantengan un balance costo – beneficio entre el
5. impacto obtenido y el costo de la implantación

Al final, el análisis de riesgos permitirá a la alta dirección tomar conciencia y decidir qué riesgos podrán ser aceptados, transferidos, mitigados o ignorados con la premisa de estar enterados de las consecuencias.

Para poder realizar un análisis de riesgos se deben realizar los siguientes pasos:

1. Entender el objetivo y alcance del análisis,
2. Estimar y asignar valores a los activos que son protegidos,
3. Identificar cada peligro, vulnerabilidad y agente,
4. Estimar la pérdida total potencial de cada riesgo,
5. Estimar la probabilidad y frecuencia de que cada riesgo pudiera materializarse,
6. Sugerir contra medidas y remedios que sean candidatos a ser implantados para mitigar los riesgos encontrados.