QUÈ ÉS UNA GESTIÓ DE RISC EN PROTECCIÓ DE DADES?

QUÈ ÉS UNA GESTIÓ DE RISC EN PROTECCIÓ DE DADES?

Gestió de riscos

Com tractem els riscos?

       El realitzem d'una manera efectiva, procurant que s'adapti al procés administratiu de forma natural a l'empresa,amb un únic objectiu, tractan els riscos per disminuint el seu nivell d'exposició amb mesures de control que permetin reduir la probabilitat i / o impacte i que aquests es materialitzin. Reduïm o mitigant el mateix, fins a situar el risc residual en un nivell que es consideri raonable.

TORNAR

Conceptes generals sobre gestió de riscos

         Identificar amenaces i riscos. El risc es deriva de l'exposició a amenaces, per tant, des de la perspectiva de la privacitat, és fonamental entendre què és una amenaça i com es poden identificar escenaris de risc per a les dades personals a partir de la mateixa.

Una amenaça és qualsevol factor de risc amb potencial per provocar un dany o perjudici als interessats sobre les dades de caràcter personal que es realitza amb un tractament. Si posem el focus en la protecció de les dades, les amenaces es poden categoritzar principalment en tres tipus:

1.Accés il·legítim a les dades: què mal causaria que el conegués qui no deu? confidencialitat


2.Modificació no autoritzada de les dades: què perjudici causaria que estigués malmès o corrupte? integritat


3.Eliminació de les dades: què perjudici causaria no tenir una dada o no poder utilitzar-lo? disponibilitat.

        Un risc es pot definir com la combinació de la possibilitat que es materialitzi una amenaça i les seves conseqüències negatives. El nivell de risc es mesura segons la seva probabilitat de materialitzar-se i l'impacte que té en cas de fer-ho. Les amenaces i els riscos associats estan directament relacionats, en conseqüència, identificar els riscos sempre implica considerar l'amenaça que els pot originar.

Avaluar els riscos

        Avaluar un risc implica considerar tots els possibles escenaris en els quals el risc es faria efectiu. L'avaluació de riscos consisteix a valorar l'impacte de l'exposició a l'amenaça, al costat de la probabilitat que aquesta es materialitzi. L'impacte, per la seva banda, es determina en base als possibles danys que es poden produir si l'amenaça es materialitza, per exemple, un impacte seria menyspreable si no tingués conseqüències sobre l'interessat o, per contra, un impacte seria significatiu si el dany ocasionat sobre els drets i llibertats des de l'interessat fos crític. Segons la probabilitat i l'impacte, associats a les amenaces, és possible determinar el nivell de risc inherent.