Risco residual
O que é Risco residual?
Risco residualRisco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
O risco residual é o que sobra do risco inerente depois de os controlos existentes ou planeados reduzirem a probabilidade ou o impacto. É a métrica mais relevante para a tomada de decisão, pois os controlos nunca são perfeitos e as ameaças evoluem. As organizações comparam o risco residual com o apetite e a tolerância: o que ultrapassa estes limites deve ser tratado adicionalmente, escalado ou formalmente aceite com justificação documentada e responsável. É registado no registo de riscos e revisto periodicamente, sobretudo quando falham controlos, mudam ameaças ou surgem novas dependências. Conselhos e reguladores exigem cada vez mais reporte explícito do risco residual.
● Exemplos
- 01
Risco residual de violação por phishing após implementar MFA, formação e filtragem de e-mail.
- 02
Aceitação documentada do risco residual de um sistema legacy pendente de descontinuação.
● Perguntas frequentes
O que é Risco residual?
Risco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Risco residual?
Risco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
Como funciona Risco residual?
O risco residual é o que sobra do risco inerente depois de os controlos existentes ou planeados reduzirem a probabilidade ou o impacto. É a métrica mais relevante para a tomada de decisão, pois os controlos nunca são perfeitos e as ameaças evoluem. As organizações comparam o risco residual com o apetite e a tolerância: o que ultrapassa estes limites deve ser tratado adicionalmente, escalado ou formalmente aceite com justificação documentada e responsável. É registado no registo de riscos e revisto periodicamente, sobretudo quando falham controlos, mudam ameaças ou surgem novas dependências. Conselhos e reguladores exigem cada vez mais reporte explícito do risco residual.
Como se defender contra Risco residual?
As defesas contra Risco residual costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Risco residual?
Nomes alternativos comuns: Risco líquido, Risco pós-controlo.
● Termos relacionados
- compliance№ 534
Risco inerente
Nível de risco que existe numa atividade ou ativo antes de quaisquer controlos ou mitigações, refletindo a exposição bruta a ameaças.
- compliance№ 939
Tratamento de riscos
Decisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 934
Apetite ao risco
Quantidade e tipo agregados de risco que uma organização está disposta a procurar ou a aceitar na prossecução dos seus objetivos estratégicos, definidos pelo conselho e pela liderança sénior.
- compliance№ 937
Registo de riscos
Inventário vivo dos riscos identificados com descrição, responsável, pontuações, tratamento e estado, usado para acompanhar a exposição da organização ao longo do tempo.
- compliance№ 733
NIST Risk Management Framework
Processo do NIST em sete passos, definido na SP 800-37, para integrar a gestão de riscos de segurança, privacidade e cadeia de fornecimento no ciclo de vida dos sistemas.
● Veja também
- № 938Tolerância ao risco