Riesgo inherente
¿Qué es Riesgo inherente?
Riesgo inherenteNivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
El riesgo inherente es el punto de partida del análisis de riesgos: la probabilidad e impacto de un escenario de amenaza asumiendo que no hay controles. Permite entender la exposición natural de una actividad (por ejemplo, aceptar pagos con tarjeta en línea o gestionar datos de salud regulados) y compararla entre carteras. Quienes gestionan el riesgo lo emplean para dimensionar el esfuerzo de control y para juzgar si el diseño y la operación de los controles existentes llevan el riesgo residual por debajo del apetito. Marcos como ISO/IEC 27005 y COSO ERM distinguen explícitamente entre riesgo inherente y residual para evitar contar los controles dos veces.
● Ejemplos
- 01
Riesgo inherente de almacenar millones de tarjetas de pago en una plataforma de comercio electrónico con mucho tráfico.
- 02
Riesgo inherente de operar infraestructura crítica expuesta a actores estatales.
● Preguntas frecuentes
¿Qué es Riesgo inherente?
Nivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Riesgo inherente?
Nivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
¿Cómo defenderse de Riesgo inherente?
Las defensas contra Riesgo inherente combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Riesgo inherente?
Nombres alternativos comunes: Riesgo bruto, Riesgo precontrol.