Una función primordial y, en cierta medida, básica en la que el auditor en Seguridad Informática (aSI) debe fundamentar su rol es el análisis de Riesgos (aR).

análisis de Riesgos
Procesos
Legislación aplicable, leyes y jurisprudencia (debido a posibles contingencias)
Reglamentación sectorial interna
acuerdos y contratos (con personal subcontratados o proveedores)
análisis de informes medioambientales
análisis de estudios de mercado






El aSI debe elaborar periódicamente un informe de calificación de impactos y riesgos,incluyendo directivas acerca del plazo de tiempo en que éstos deben resolverse.

a la vista de los impactos y riesgos a que está expuesto el sistema, hay que tomar una serie de decisiones de tipo gerencial, no técnico, condicionadas por diversos factores:
·la gravedad del impacto y/o del riesgo
·las obligaciones a las que por ley esté sometida la Organización
·las obligaciones a las que por reglamentos sectoriales esté sometida la Organización.
· las obligaciones a las que por contrato esté sometida la Organización Dentro del margen de maniobra que permita este marco, pueden aparecer consideraciones adicionales sobre la capacidad de la Organización para aceptar ciertos impactos de naturaleza intangible tales como:

·imagen pública de cara a la Sociedad
·política interna: relaciones con los propios empleados, tales como capacidad de contratar al personal idóneo, capacidad de retener a los mejores, capacidad de soportar rotaciones de personas, capacidad de ofrecer una carrera profesional atractiva, etc.
·relaciones con los proveedores, tales como capacidad de llegar a acuerdos ventajosos a corto,medio o largo plazo, capacidad de obtener trato prioritario, etc.
·relaciones con los clientes o usuarios, tales como capacidad de retención, capacidad de incrementar la oferta, capacidad de diferenciarse frente a la competencia, ...
·relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estratégicos,alianzas, etc.
·nuevas oportunidades de negocio, tales como formas de recuperar la inversión en seguridad
·acceso a sellos o calificaciones reconocidas de seguridad

Todas las consideraciones anteriores desembocan en una calificación de cada riesgo significativo, determinándose si:
1. es crítico en el sentido de que requiere atención urgente
2. es grave en el sentido de que requiere atención
3. es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
4. es asumible en el sentido de que no se van a tomar acciones para atajarlo

GESTION DE RIESGOS
ELabORaCIÓN DE UN PLaN DE SEGURIDaD DE La INFORMaCIÓN
básicamente, se llevan a cabo dos pasos:
1. Se crean todos los escenarios de impacto y riesgo que se consideren críticos o graves.
2. Se elabora un conjunto de programas (procesos) de seguridad que den respuesta a todos y cada uno de los escenarios anteriores, sabiendo que un programa puede afrontar diferentes escenarios y que un mismo escenario puede ser analizado y resuelto por diferentes programas.

El objetivo se intentar implementar o mejorar una serie de salvaguardas que disminuyan el impacto y riesgo a niveles asumibles por la Dirección de la Empresa.
cada programa de seguridad debe detallar:
• Su objetivo genérico.
• Las salvaguardas concretas a implementar o mejorar, detallando objetivos de calidad,eficiencia y eficacia.
• La relación de escenarios de impacto y/o riego que afronta.
• Estimación de costos, tanto económicos como de esfuerzo de realización, teniendo en cuenta: costos de adquisición de productos y/o de contratación de servicios o de desarrollo, pudiendo ser necesaria la evaluación de diferentes alternativas.
Costos de implementación inicial y mantenimiento en el tiempo.
Costos de formación de operadores o de usuarios, según el caso.
Costos de explotación.
Impacto en la productividad de la Empresa.

• SUbTaREaS
cambios en la normativa y desarrollo de procedimientos.
Soluciones técnicas
Plan de despliegue
Plan de formación
Es importante considerar que el establecimiento de estos procesos o planes de seguridad deben ser monitorizados constantemente por un “comité de seguimiento”. formado por autoridades de la empresa comprometidos en la elaboración, implementación y seguimiento de los mismos.
Estas autoridades deben ser personas idóneas en la materia o, al menos, contar con la predisposición de acompañar y respaldar al auditor en Seguridad en cada elaboración,implementación de políticas y toma de decisiones ejecutivas.