FISO27001_T036 Riesgo Residual

Plataformas de Aprendizaje Autodirigido

Riesgo Residual.

Riesgo residual: riesgo remanente después del tratamiento del riesgo, es decir; es aquel que persiste aun después de tomar las medidas necesarias para tratar los riesgos identificados.

Una vez identificados los riesgos, se procede a implementar las acciones correspondientes para eliminar algunos de ellos y mitigar el impacto o disminuir la probabilidad de ocurrencia de otros.

Los profesionales de riesgos saben que nunca se podrán eliminar todos los riesgos, sobre todo cuando se habla de seguridad de la información. El riesgo residual es inevitable, pero la organización necesita saber exactamente cuáles son esos riesgos y cuál es su nivel después de aplicar el tratamiento planificado.

La evaluación del riesgo residual en ISO 27001 se efectúa procediendo de la misma forma que con la identificación de los riesgos para la seguridad de la información. Utilizamos las mismas herramientas, metodologías y escalas de evaluación. La gran diferencia es que ahora, además, debemos establecer el verdadero impacto de los controles y las acciones destinadas a mitigar los riesgos que se han implementado.

Está claro que el riesgo residual siempre existirá. De lo que se trata, por tanto, es de saber el verdadero nivel de riesgo al que está expuesta la organización y si ese nivel es tolerable.

Gestión del riesgo residual en ISO 27001.

Cuando ya hemos logrado identificar los riesgos residuales, nos encontramos con tres opciones diferentes:

  • Es posible que el nivel de riesgo residual se encuentre por debajo de los niveles aceptables. Entonces no será necesario emprender ninguna otra acción. La organización simplemente aceptará ese nivel de riesgo y convivirá con él.
  • El nivel de riesgo supera los límites tolerables. En este caso es preciso implementar acciones o controles más eficaces para tratar el riesgo residual y mitigar su impacto.
  • El coste de reducir o mitigar el riesgo residual es tan alto que supera los costes que asumiría la organización si el riesgo ocurriera. Para esta situación lo más indicado es que la organización acepte el nivel de riesgo.

Corresponde, por supuesto, a la alta dirección tomar la decisión final sobre los niveles de riesgo residual a los que estará expuesta la organización. Después de todo es ella la responsable de la conducción de la organización, de su viabilidad y de la toma de las decisiones de fondo.

Clave Del Riesgo Residual.

Los siguientes componentes son clave para determinar el riesgo residual:

  • Riesgo inherente. El riesgo inherente es la cantidad de impacto potencial que enfrenta la compañía antes de implementar un plan de recuperación u otros controles de mitigación.
  • Tolerancia al riesgo. Nivel máximo de riesgo que la gerencia aceptará.
  • Controles atenuantes. Controles como un análisis de impacto al negocio (BIA), estrategia de recuperación, ejercicios de recuperación y planes de recuperación que se implementan para evitar el riesgo o disminuir el impacto. Evaluará la calidad de los controles atenuantes del plan para determinar el riesgo residual.

error: El contenido esta protegido