Si aún no estas suscrito al Newsletter hazlo aquí y obtén contenidos de Seguridad de la Información cómodamente en tu correo electrónico.
¿cómo gestionar el riesgo inherente y residual?¿para qué debe gestionarlo? y ¿para qué debo evaluarlo?
Imaginemos el siguiente escenario, nos acaban de designar como los responsables de gestionar/administrar los riesgos de nuestra organización, entonces nos surgen muchas dudas entre las que destacas ¿cómo gestionar el riesgo inherente y residual? Aunque no lo creas, esta es una pregunta muy común en el mundo de la seguridad de la información, ya que al ser diferentes tendemos a pensar que se deben administrar cada riesgo de forma distinta.
La respuesta a esa pregunta es un no. No existe diferencia en cuanto a la importancia de cada riesgo, según los modelos tradicionales de gestión de riesgo, tales como ISO 31000, ISO27005, COSO la gran cantidad de otros procedimientos empleados generalmente. Estos riesgos se gestionan y evalúan de igual manera.
Comencemos por definir cada uno de ellos. El riesgo inherente, es el riesgo que se presenta sin aplicar ninguna medida sobre la amenaza, vulnerabilidad, impacto o probabilidad; por ejemplo, el riesgo que identificamos al momento de realizar nuestra primera evaluación de riesgo sobre ese activo o cuando decidimos “aceptar” un riesgo debido a que su mitigación sería más costosa que la pérdida del activo en sí. El riesgo residual, es el nivel de riesgo que presenta un activo después que se le ha aplicado algún control sobre la probabilidad, vulnerabilidad, amenazar o impacto; dicho de otra manera, es el riesgo mitigado o transferido.
Entendiendo la diferencia entre ambos, ahora surge una nueva pregunta, si el riesgo inherente es aquel activo que no presenta gestión alguna, entonces, ¿para qué debe gestionarlo? y ¿para qué debo evaluarlo?
Desde mi punto de vista y respondiendo la primera pregunta, debemos mantenerlos dentro de nuestro calendario de revisión, porque, probablemente, en algún momento el valor del activo que representa el riesgo podría ser mayor que el control a aplicar por lo que se debería aplicar los controles respectivos.
Y respondiendo la segunda pregunta, el auditor debe evaluarlo, con la misma cautela que los demás riesgo, para verificar que la aceptación del mismo está justificado y que no sea que se le dejó de tratar por flojera o desidia.
Conocer sobre la gestión, tipos y medidas de riesgos es fundamental para la gestión de seguridad de la información y continuidad de negocios de nuestras organizaciones, te invito a que te des una vuelta por la sección de Gestión de Riesgos de este blog para saber más sobre este tema.
Hace poco escribí una revisión sobre SimpleRisk, una herramienta de gestión de riesgo que nos podría ayudar de forma más metódica en la gestión de los riesgos de seguridad de la información.
Si te gustó el artículo, regístrate aquí y no te pierdas ninguna de mis publicaciones.
Carlos Solís Salazar
Profesional en Seguridad de la Información