¿QUÉ ES UNA GESTIÓN DE RIESGO EN PROTECCIÓN DE DATOS?

¿Cómo tratamos los riesgos?

         Lo realizamos de una forma efectiva ,procurando que se adapte al proceso administrativo de forma natural a la empresa, con un único objetivo,  disminuyendo su nivel de exposición con medidas de control que permitan reducir la probabilidad y/o impacto  y e que estos se materialicen. Reduciendo o mitigando el mismo, hasta situar el riesgo residual en un nivel que se considere razonable.


VOLVER

 

 

 

Conceptos generales sobre gestión de riesgos

   Identificar amenazas y riesgos El riesgo se deriva de la exposición a amenazas, por tanto, desde la perspectiva de la privacidad, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales a partir de la misma.

    Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. Si ponemos el foco en la protección de los datos, las amenazas se pueden categorizar principalmente en tres tipos:   

  1. Acceso ilegítimo a los datos: ¿qué daño causaría que lo conociera quien no debe? confidencialidad
  2. Modificación no autorizada de los datos: ¿qué perjuicio causaría que estuviera dañado o corrupto? integridad
  3. Eliminación de los datos: ¿qué perjuicio causaría no tener un dato o no poder utilizarlo? disponibilidad.

      Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. El nivel de riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo. Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar los riesgos siempre implica considerar la amenaza que los puede originar.

Evaluar los riesgos

        Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se haría efectivo. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice. El impacto, por su parte, se determina en base a los posibles daños que se pueden producir si la amenaza se materializa, por ejemplo, un impacto sería despreciable si no tuviera consecuencias sobre el interesado o, por el contrario, un impacto sería significativo si el daño ocasionado sobre los derechos y liberta des del interesado fuese crítico. Según la probabilidad y el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo inherente.