Riesgo residual
¿Qué es Riesgo residual?
Riesgo residualRiesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
El riesgo residual es lo que queda del riesgo inherente una vez que los controles existentes o previstos reducen la probabilidad o el impacto. Es la cifra más relevante para decidir, porque los controles nunca son perfectos y las amenazas evolucionan. Las organizaciones lo comparan con su apetito y tolerancia: lo que supera estos límites debe tratarse más, escalarse o aceptarse formalmente con justificación documentada y un responsable. Se registra en el registro de riesgos y se revisa periódicamente, sobre todo cuando fallan controles, cambian las amenazas o aparecen nuevas dependencias. Consejos y reguladores piden cada vez más un reporte explícito del riesgo residual para demostrar decisiones informadas.
● Ejemplos
- 01
Riesgo residual de brecha por phishing tras desplegar MFA, formación y filtrado de correo.
- 02
Aceptación documentada del riesgo residual de un sistema legacy pendiente de retirada.
● Preguntas frecuentes
¿Qué es Riesgo residual?
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Riesgo residual?
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
¿Cómo funciona Riesgo residual?
El riesgo residual es lo que queda del riesgo inherente una vez que los controles existentes o previstos reducen la probabilidad o el impacto. Es la cifra más relevante para decidir, porque los controles nunca son perfectos y las amenazas evolucionan. Las organizaciones lo comparan con su apetito y tolerancia: lo que supera estos límites debe tratarse más, escalarse o aceptarse formalmente con justificación documentada y un responsable. Se registra en el registro de riesgos y se revisa periódicamente, sobre todo cuando fallan controles, cambian las amenazas o aparecen nuevas dependencias. Consejos y reguladores piden cada vez más un reporte explícito del riesgo residual para demostrar decisiones informadas.
¿Cómo defenderse de Riesgo residual?
Las defensas contra Riesgo residual combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Riesgo residual?
Nombres alternativos comunes: Riesgo neto, Riesgo postcontrol.
● Términos relacionados
- compliance№ 534
Riesgo inherente
Nivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
- compliance№ 939
Tratamiento del riesgo
Decisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 934
Apetito de riesgo
Cantidad y tipo agregado de riesgo que una organización está dispuesta a asumir o aceptar para perseguir sus objetivos estratégicos, definidos por el consejo y la alta dirección.
- compliance№ 937
Registro de riesgos
Inventario vivo de los riesgos identificados con su descripción, responsable, puntuaciones, tratamiento y estado, usado para seguir la exposición de la organización a lo largo del tiempo.
- compliance№ 733
NIST Risk Management Framework
Proceso del NIST en siete pasos, definido en SP 800-37, para integrar la gestión de riesgos de seguridad, privacidad y cadena de suministro en el ciclo de vida del sistema.
● Véase también
- № 938Tolerancia al riesgo