Analitzar el risc no serviria de res si posteriorment no es fa un esforç per evitar-lo, reduir-lo o mitigar-lo, transferir-lo o acceptar-lo. En general aquestes són les estratègies bàsiques per tractar el risc. En el millor dels casos sempre hi haurà un risc residual o llindar de risc amb què haurem de conviure. L'activitat per a la qual evitam, reduïm o mitigam el risc, el transferim o l'acceptam és la «gestió del risc».
Una anàlisi de risc és una activitat sistemàtica per la qual es pretén identificar cadascun dels riscs implícits en una activitat determinada. Els riscs no són estàtics: evolucionen segons l'estat de la tecnologia i les situacions específiques de cada tractament de dades personals. Cada organització hauria de tenir una política de riscs corporativa o un marc en què s'identifiqui els responsables de l'anàlisi, els recursos, els processos, els actius, la metodologia necessària per analitzar els riscs, les eines necessàries, la gestió del risc, la periodicitat de les anàlisis, les mesures de seguiment, les legislacions aplicables, la formació del personal, etc.
Per poder establir el marc de referència de l'anàlisi i la gestió del risc en una organització, poden utilitzar-se normes i metodologies com les següents:
- Les normes ISO 31000 I 31010 són normes generals que poden servir d'ajuda per configurar el marc de referència per analitzar riscs en general.
- La norma ISO 27005 pot utilitzar-se com a marc per analitzar riscs per a la seguretat de la informació.
- MAGERIT és la metodologia d'anàlisi i gestió de riscs elaborada pel Consell Superior d'Administració Electrònica.
A tall d'exemple, la norma ISO 31000 defineix el procés de l'anàlisi i la gestió de riscs en quatre fases:
- Disseny i definició del marc de treball
- Implementació i gestió del risc
- Verificació dels resultats mitjançant processos d'auditoria
- Millora del marc inicial del treball La proposta d'aquesta norma, similar a qualsevol metodologia d'anàlisi i gestió del risc, es basa en un sistema de millora contínua de la qualitat.
Aquest sistema en permanent evolució tècnicament es coneix com a cicle PDCA o cicle de Deming: En altres termes podem dir que el risc és canviant segons l'entorn (marc físic, tecnològic, intervenció humana, etc.) i l'adequació de les mesures per pal·liar riscs també ha de ser canviant i en permanent adequació i revisió.
En altres paraules, podem afirmar que el risc canvia segons l'entorn (marc físic, tecnològic, intervenció humana, etc.) i l'adequació de les mesures per pal·liar riscs també ha de canviar i estar sotmesa a revisió permanent. El procés pel qual es revisen les mesures per pal·liar els riscs es denomina auditoria i és un mecanisme bàsic i necessari per garantir l'efectivitat de les mesures per a la seguretat dels tractaments de dades i garantir els drets i les llibertats de les persones.