Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles.
En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la administración del riesgo informático juega un rol crítico.
La fórmula para determinar el riesgo total es: A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones: Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron.
Las acciones pueden ser: No se olvide que en las empresas la seguridad comienza por dentro.
Capacitando al personal, creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad lógica y en la seguridad de sistemas de información.
Una vez terminado este proceso se debe documentar toda la información recabada para su análisis posterior.
Esta metodología brinda consejos detallados con respecto a qué modelos deben construirse y cómo deben expresarse, así mismo ayuda a la reducción de riesgos y medidas para evitarlos.