Riesgo residual
¿Qué es Riesgo residual?
Riesgo residualRiesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
El riesgo residual es lo que queda del riesgo inherente una vez que los controles existentes o previstos reducen la probabilidad o el impacto. Es la cifra más relevante para decidir, porque los controles nunca son perfectos y las amenazas evolucionan. Las organizaciones lo comparan con su apetito y tolerancia: lo que supera estos límites debe tratarse más, escalarse o aceptarse formalmente con justificación documentada y un responsable. Se registra en el registro de riesgos y se revisa periódicamente, sobre todo cuando fallan controles, cambian las amenazas o aparecen nuevas dependencias. Consejos y reguladores piden cada vez más un reporte explícito del riesgo residual para demostrar decisiones informadas.
● Ejemplos
- 01
Riesgo residual de brecha por phishing tras desplegar MFA, formación y filtrado de correo.
- 02
Aceptación documentada del riesgo residual de un sistema legacy pendiente de retirada.
● Preguntas frecuentes
¿Qué es Riesgo residual?
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Riesgo residual?
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
¿Cómo defenderse de Riesgo residual?
Las defensas contra Riesgo residual combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Riesgo residual?
Nombres alternativos comunes: Riesgo neto, Riesgo postcontrol.