Risco residual
O que é Risco residual?
Risco residualRisco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
O risco residual é o que sobra do risco inerente depois de os controlos existentes ou planeados reduzirem a probabilidade ou o impacto. É a métrica mais relevante para a tomada de decisão, pois os controlos nunca são perfeitos e as ameaças evoluem. As organizações comparam o risco residual com o apetite e a tolerância: o que ultrapassa estes limites deve ser tratado adicionalmente, escalado ou formalmente aceite com justificação documentada e responsável. É registado no registo de riscos e revisto periodicamente, sobretudo quando falham controlos, mudam ameaças ou surgem novas dependências. Conselhos e reguladores exigem cada vez mais reporte explícito do risco residual.
● Exemplos
- 01
Risco residual de violação por phishing após implementar MFA, formação e filtragem de e-mail.
- 02
Aceitação documentada do risco residual de um sistema legacy pendente de descontinuação.
● Perguntas frequentes
O que é Risco residual?
Risco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Risco residual?
Risco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
Como se defender contra Risco residual?
As defesas contra Risco residual costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Risco residual?
Nomes alternativos comuns: Risco líquido, Risco pós-controlo.