Riesgo inherente
¿Qué es Riesgo inherente?
Riesgo inherenteNivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
El riesgo inherente es el punto de partida del análisis de riesgos: la probabilidad e impacto de un escenario de amenaza asumiendo que no hay controles. Permite entender la exposición natural de una actividad (por ejemplo, aceptar pagos con tarjeta en línea o gestionar datos de salud regulados) y compararla entre carteras. Quienes gestionan el riesgo lo emplean para dimensionar el esfuerzo de control y para juzgar si el diseño y la operación de los controles existentes llevan el riesgo residual por debajo del apetito. Marcos como ISO/IEC 27005 y COSO ERM distinguen explícitamente entre riesgo inherente y residual para evitar contar los controles dos veces.
● Ejemplos
- 01
Riesgo inherente de almacenar millones de tarjetas de pago en una plataforma de comercio electrónico con mucho tráfico.
- 02
Riesgo inherente de operar infraestructura crítica expuesta a actores estatales.
● Preguntas frecuentes
¿Qué es Riesgo inherente?
Nivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Riesgo inherente?
Nivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
¿Cómo funciona Riesgo inherente?
El riesgo inherente es el punto de partida del análisis de riesgos: la probabilidad e impacto de un escenario de amenaza asumiendo que no hay controles. Permite entender la exposición natural de una actividad (por ejemplo, aceptar pagos con tarjeta en línea o gestionar datos de salud regulados) y compararla entre carteras. Quienes gestionan el riesgo lo emplean para dimensionar el esfuerzo de control y para juzgar si el diseño y la operación de los controles existentes llevan el riesgo residual por debajo del apetito. Marcos como ISO/IEC 27005 y COSO ERM distinguen explícitamente entre riesgo inherente y residual para evitar contar los controles dos veces.
¿Cómo defenderse de Riesgo inherente?
Las defensas contra Riesgo inherente combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Riesgo inherente?
Nombres alternativos comunes: Riesgo bruto, Riesgo precontrol.
● Términos relacionados
- compliance№ 923
Riesgo residual
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
- compliance№ 935
Evaluación de riesgos
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 937
Registro de riesgos
Inventario vivo de los riesgos identificados con su descripción, responsable, puntuaciones, tratamiento y estado, usado para seguir la exposición de la organización a lo largo del tiempo.
- compliance№ 888
Análisis cualitativo de riesgos
Enfoque de análisis que valora probabilidad e impacto con escalas descriptivas (bajo/medio/alto o 1-5) en lugar de valores monetarios o probabilísticos.
- compliance№ 889
Análisis cuantitativo de riesgos
Enfoque de análisis que expresa probabilidad e impacto en cifras, generalmente como probabilidades y distribuciones de pérdida monetaria, para sustentar decisiones basadas en datos.