Una vez explicado qué es el análisis de riesgos, debemos hablar de la realización del mismo y, para ello, debe establecerse un proceso específico que tiene tres pasos fundamentales:
A) Identificar amenazas.
Estas amenazas pueden provocar riesgos a la privacidad o a la confidencialidad. De estos riesgos:
- los primeros están más vinculados a vulneraciones de normas que garanticen derechos de los ciudadanos
- los segundos se encuentran más propiamente dentro de lo que se conoce la seguridad de la información
B) Evaluar los riesgos
Lo primero que tenemos que tener en cuenta es considerar todos los posibles escenarios en los cuales va a darse un riesgo.
Después valoraremos el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice. Para hacerlo correctamente esa valoración conllevará asignar tanto a la probabilidad como a dicha amenaza de una magnitud, que puede ser: alto, medio, bajo, o todavía mejor valorarla del 1 al 5.
C) Tratar los riesgos hasta alcanzar el nivel de seguridad necesario
El objetivo de tratar los riesgos es disminuir el nivel de exposición de la empresa a estos aplicando salvaguardas, hasta situar el riesgo residual (el que queda después de aplicar las salvaguardas) en un nivel admisible.
Y con estos pasos tenemos los aspectos fundamentales para aplicar las medidas que habrán de garantizar un nivel de seguridad adecuado al riesgo.