Risco inerente
O que é Risco inerente?
Risco inerenteNível de risco que existe numa atividade ou ativo antes de quaisquer controlos ou mitigações, refletindo a exposição bruta a ameaças.
O risco inerente é o ponto de partida da análise de riscos: a probabilidade e o impacto de um cenário de ameaça assumindo a ausência de controlos. Ajuda a compreender a exposição natural de uma atividade (por exemplo, aceitar pagamentos com cartão online ou guardar dados de saúde regulados) e a compará-la entre carteiras. Os profissionais usam-no para dimensionar o esforço de controlo e para avaliar se a conceção e o funcionamento dos controlos existentes trazem o risco residual abaixo do apetite. Referenciais como a ISO/IEC 27005 e o COSO ERM distinguem explicitamente risco inerente e residual para evitar contar o efeito dos controlos duas vezes.
● Exemplos
- 01
Risco inerente a guardar milhões de cartões de pagamento numa plataforma de e-commerce com alto tráfego.
- 02
Risco inerente a operar infraestrutura crítica exposta a atores estatais.
● Perguntas frequentes
O que é Risco inerente?
Nível de risco que existe numa atividade ou ativo antes de quaisquer controlos ou mitigações, refletindo a exposição bruta a ameaças. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Risco inerente?
Nível de risco que existe numa atividade ou ativo antes de quaisquer controlos ou mitigações, refletindo a exposição bruta a ameaças.
Como funciona Risco inerente?
O risco inerente é o ponto de partida da análise de riscos: a probabilidade e o impacto de um cenário de ameaça assumindo a ausência de controlos. Ajuda a compreender a exposição natural de uma atividade (por exemplo, aceitar pagamentos com cartão online ou guardar dados de saúde regulados) e a compará-la entre carteiras. Os profissionais usam-no para dimensionar o esforço de controlo e para avaliar se a conceção e o funcionamento dos controlos existentes trazem o risco residual abaixo do apetite. Referenciais como a ISO/IEC 27005 e o COSO ERM distinguem explicitamente risco inerente e residual para evitar contar o efeito dos controlos duas vezes.
Como se defender contra Risco inerente?
As defesas contra Risco inerente costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Risco inerente?
Nomes alternativos comuns: Risco bruto, Risco pré-controlo.
● Termos relacionados
- compliance№ 923
Risco residual
Risco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
- compliance№ 935
Avaliação de riscos
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 937
Registo de riscos
Inventário vivo dos riscos identificados com descrição, responsável, pontuações, tratamento e estado, usado para acompanhar a exposição da organização ao longo do tempo.
- compliance№ 888
Análise qualitativa de riscos
Abordagem de análise que classifica probabilidade e impacto usando escalas descritivas (baixo/médio/alto ou 1-5) em vez de valores monetários ou probabilísticos.
- compliance№ 889
Análise quantitativa de riscos
Abordagem que exprime probabilidade e impacto em números, normalmente como probabilidades e distribuições de perda monetária, para sustentar decisões orientadas por dados.