Análisis de Riesgo

El riesgo es usualmente vinculado a la probabilidad de que ocurra un evento no deseado. Generalmente la probabilidad de que ocurra dicho evento y algún asesoramiento sobre el daño que se espera de él deben ser unidos en un escenario creíble que combine el riesgo y las probabilidades de arrepentimiento y recompensa en un valor esperado. Hay muchos métodos informales que se usan para asesorar sobre el riesgo (o para "medirlo", aunque esto no suele ser posible) y otros formales.

En el análisis de escenarios el "riesgo" es distante de lo que se llama "amenaza". Una amenaza es un evento serio pero de poca probabilidad - pero cuya probabilidad puede no ser determinada por algunos analistas en un asesoramiento de riesgo porque nunca ha ocurrido, y para la cual ninguna medida preventiva está disponible. La diferencia está más claramente ilustrada por el principio de precaución que busca disminuir la amenaza reduciéndola a una serie de riesgos bien definidos antes de que un acción, proyecto, innovación o experimento sea llevado a cabo.

En seguridad de la información (se llamará así a la protección de cualquier tipo de información, no solo a a la los sistemas informáticos) el riesgo es definido como la función de tres variables: la probabilidad de que haya una amenaza, de que haya debilidades y el impacto potencial. Si cualquiera de estas variables se aproxima a cero, el riesgo total también. Por ejemplo, una biblioteca es totalmente vulnerable a que un avión se estrelle contra ella, lo cual tendría un impacto considerablemente serio. Pero como la probabilidad de que esto ocurra es casi cero (siempre que ésta no esté cerca a un aeropuerto), resulta que este evento no es una amenaza considerable y que el riesgo total es cero.