Tratamiento del riesgo
¿Qué es Tratamiento del riesgo?
Tratamiento del riesgoDecisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización.
El tratamiento del riesgo es el paso del ciclo de gestión donde a cada riesgo evaluado se le asigna una respuesta. Las opciones clásicas son: aceptar (convivir con el riesgo residual), mitigar (aplicar controles para reducir probabilidad o impacto), transferir (seguros, cláusulas contractuales, externalización) o evitar (detener o rediseñar la actividad). El plan de tratamiento define responsables, costes, plazos, riesgo residual objetivo y controles tomados de marcos como ISO/IEC 27001 Anexo A o NIST SP 800-53. Se sigue en el registro de riesgos y se revisa cuando fallan controles, cambian amenazas o evolucionan los objetivos. Un tratamiento eficaz es proporcional al riesgo y coherente con apetito y tolerancia.
● Ejemplos
- 01
Desplegar MFA y acceso condicional para mitigar el riesgo de robo de cuentas.
- 02
Contratar un seguro de ciberriesgo para transferir parte de la pérdida por ransomware.
● Preguntas frecuentes
¿Qué es Tratamiento del riesgo?
Decisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Tratamiento del riesgo?
Decisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización.
¿Cómo funciona Tratamiento del riesgo?
El tratamiento del riesgo es el paso del ciclo de gestión donde a cada riesgo evaluado se le asigna una respuesta. Las opciones clásicas son: aceptar (convivir con el riesgo residual), mitigar (aplicar controles para reducir probabilidad o impacto), transferir (seguros, cláusulas contractuales, externalización) o evitar (detener o rediseñar la actividad). El plan de tratamiento define responsables, costes, plazos, riesgo residual objetivo y controles tomados de marcos como ISO/IEC 27001 Anexo A o NIST SP 800-53. Se sigue en el registro de riesgos y se revisa cuando fallan controles, cambian amenazas o evolucionan los objetivos. Un tratamiento eficaz es proporcional al riesgo y coherente con apetito y tolerancia.
¿Cómo defenderse de Tratamiento del riesgo?
Las defensas contra Tratamiento del riesgo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Tratamiento del riesgo?
Nombres alternativos comunes: Respuesta al riesgo, Plan de mitigación.
● Términos relacionados
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 935
Evaluación de riesgos
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
- compliance№ 937
Registro de riesgos
Inventario vivo de los riesgos identificados con su descripción, responsable, puntuaciones, tratamiento y estado, usado para seguir la exposición de la organización a lo largo del tiempo.
- compliance№ 923
Riesgo residual
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
- compliance№ 557
ISO/IEC 27001
Norma internacional que establece los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI) y permite la certificación formal de las organizaciones.
- compliance№ 737
NIST SP 800-53
Publicación del NIST que ofrece un catálogo exhaustivo de controles de seguridad y privacidad para los sistemas federales de EE. UU. y numerosos adoptantes del sector privado.
● Véase también
- № 934Apetito de riesgo
- № 938Tolerancia al riesgo