Según el RGPD (Reglamento General de Protección de Datos) todas las empresas, sin excepción, deben realizar el análisis de riesgos.
El análisis de riesgos es un estudio metódico y sistemático en el que se utilizan métricas para cuantificar el grado de riesgo de vulnerabilidad informática y las posibles brechas de seguridad, para poder implementar las mejores soluciones para minimizar los riesgos.
Tanto el análisis de riesgos como las soluciones establecidas, deben realizarse teniendo en cuenta el estado de la técnica. Es decir, implementar medidas de seguridad que sean capaces de impedir o bloquear ataques informáticos actuales, con un sistema de seguridad actual y no obsoleto.
El RGPD exige una actualización constante del análisis de riesgos. Se recomienda establecer una metodología periódica y objetiva para analizar y detectar los cambios tecnológicos de la empresa.
Según el RGPD, las empresas son las que deben identificar las medidas de seguridad que aplicaran al tratamiento de sus datos.
Fases que se podrían tener en cuenta para implementar una política de riesgos:
- COMUNICACIÓN: involucrar a toda la organización, identificar riesgos y probabilidades de que los mismos se materialicen, establecer prioridades y objetivos, concienciación y formación del personal.
- CONTEXTO: definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales (activos).
- IDENTIFICAR RIESGOS: elaboración del mapa de riesgos de la organización, cuantificar posibles daños.
- ANALIZAR Y EVALUAR EL RIESGO: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo.
- GESTIONAR EL RIESGO: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso.
- SEGUIMIENTO DEL RIESGO: auditorias, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes.
El análisis de riesgos en el RGPD forma parte del principio de responsabilidad proactiva (accountability) por el que los responsables deben siempre estar en condiciones de demostrar la licitud de los tratamientos.