Una funci�n primordial y, en cierta medida, b�sica en la que el auditor en Seguridad Inform�tica (aSI) debe fundamentar su rol es el an�lisis de Riesgos (aR).

an�lisis de Riesgos
Procesos
Legislaci�n aplicable, leyes y jurisprudencia (debido a posibles contingencias)
Reglamentaci�n sectorial interna
acuerdos y contratos (con personal subcontratados o proveedores)
an�lisis de informes medioambientales
an�lisis de estudios de mercado






El aSI debe elaborar peri�dicamente un informe de calificaci�n de impactos y riesgos,incluyendo directivas acerca del plazo de tiempo en que �stos deben resolverse.

a la vista de los impactos y riesgos a que est� expuesto el sistema, hay que tomar una serie de decisiones de tipo gerencial, no t�cnico, condicionadas por diversos factores:
�la gravedad del impacto y/o del riesgo
�las obligaciones a las que por ley est� sometida la Organizaci�n
�las obligaciones a las que por reglamentos sectoriales est� sometida la Organizaci�n.
� las obligaciones a las que por contrato est� sometida la Organizaci�n Dentro del margen de maniobra que permita este marco, pueden aparecer consideraciones adicionales sobre la capacidad de la Organizaci�n para aceptar ciertos impactos de naturaleza intangible tales como:

�imagen p�blica de cara a la Sociedad
�pol�tica interna: relaciones con los propios empleados, tales como capacidad de contratar al personal id�neo, capacidad de retener a los mejores, capacidad de soportar rotaciones de personas, capacidad de ofrecer una carrera profesional atractiva, etc.
�relaciones con los proveedores, tales como capacidad de llegar a acuerdos ventajosos a corto,medio o largo plazo, capacidad de obtener trato prioritario, etc.
�relaciones con los clientes o usuarios, tales como capacidad de retenci�n, capacidad de incrementar la oferta, capacidad de diferenciarse frente a la competencia, ...
�relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estrat�gicos,alianzas, etc.
�nuevas oportunidades de negocio, tales como formas de recuperar la inversi�n en seguridad
�acceso a sellos o calificaciones reconocidas de seguridad

Todas las consideraciones anteriores desembocan en una calificaci�n de cada riesgo significativo, determin�ndose si:
1. es cr�tico en el sentido de que requiere atenci�n urgente
2. es grave en el sentido de que requiere atenci�n
3. es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
4. es asumible en el sentido de que no se van a tomar acciones para atajarlo

GESTION DE RIESGOS
ELabORaCI�N DE UN PLaN DE SEGURIDaD DE La INFORMaCI�N
b�sicamente, se llevan a cabo dos pasos:
1. Se crean todos los escenarios de impacto y riesgo que se consideren cr�ticos o graves.
2. Se elabora un conjunto de programas (procesos) de seguridad que den respuesta a todos y cada uno de los escenarios anteriores, sabiendo que un programa puede afrontar diferentes escenarios y que un mismo escenario puede ser analizado y resuelto por diferentes programas.

El objetivo se intentar implementar o mejorar una serie de salvaguardas que disminuyan el impacto y riesgo a niveles asumibles por la Direcci�n de la Empresa.
cada programa de seguridad debe detallar:
� Su objetivo gen�rico.
� Las salvaguardas concretas a implementar o mejorar, detallando objetivos de calidad,eficiencia y eficacia.
� La relaci�n de escenarios de impacto y/o riego que afronta.
� Estimaci�n de costos, tanto econ�micos como de esfuerzo de realizaci�n, teniendo en cuenta: costos de adquisici�n de productos y/o de contrataci�n de servicios o de desarrollo, pudiendo ser necesaria la evaluaci�n de diferentes alternativas.
Costos de implementaci�n inicial y mantenimiento en el tiempo.
Costos de formaci�n de operadores o de usuarios, seg�n el caso.
Costos de explotaci�n.
Impacto en la productividad de la Empresa.

� SUbTaREaS
cambios en la normativa y desarrollo de procedimientos.
Soluciones t�cnicas
Plan de despliegue
Plan de formaci�n
Es importante considerar que el establecimiento de estos procesos o planes de seguridad deben ser monitorizados constantemente por un �comit� de seguimiento� formado por autoridades de la empresa comprometidos en la elaboraci�n, implementaci�n y seguimiento de los mismos.
Estas autoridades deben ser personas id�neas en la materia o, al menos, contar con la predisposici�n de acompa�ar y respaldar al auditor en Seguridad en cada elaboraci�n,implementaci�n de pol�ticas y toma de decisiones ejecutivas.