Se trata de un proceso fundamental en la gestión de la seguridad de la información. Implica la identificación de los activos de información dentro de una organización, junto con las posibles vulnerabilidades y amenazas que podrían afectarlos.

El análisis de riesgos evalúa la probabilidad de ocurrencia de estas amenazas y el impacto potencial que tendrían sobre los activos identificados. Una vez realizada esta evaluación, se pueden determinar los controles o medidas necesarias para gestionar, mitigar o aceptar los riesgos identificados, en función de su nivel de tolerancia al riesgo de la organización.

Este proceso es clave para establecer una estrategia de seguridad de la información efectiva y ajustada a las necesidades específicas de cada organización.