1. Concepto de riesgo. Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones, como por ejemplo la perdida de datos debido a daño en los discos, virus informáticos, entre otros.
2. Tipos de riesgo. No todas las amenazas de un sistema informático tienen las mismas exigencias de seguridad, algunas son mayores que otras, por tanto al identificar o clasificar los riegos es conveniente establecer el grado o nivel en función de la seguridad.· Alto. Se considera un riesgo alto cuando la amenaza representa gran impacto dentro de la institución u organización.
· Medio. Se establece cuando la amenaza impacta de forma parcial a las actividades de la organización o institución.
· Bajo. Cuando una amenaza no representa un ataque importante en los procesos de una organización o institución.
3. Matriz de riesgo. constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, así como el tipo y nivel de riesgos inherentes a estas, permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad.
4. Concepto de vulnerabilidad. Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización.
