Tras una evaluación de riesgos, ¿cuáles son tus opciones para tratar un riesgo? Da un ejemplo de cada una.
Respuesta breve
Puedes mitigar (reducir probabilidad/impacto con controles), transferir (trasladar el impacto financiero mediante seguros o contratos), evitar (detener por completo la actividad arriesgada) o aceptar (tolerar a sabiendas el riesgo residual). La elección depende del apetito de riesgo y de una comparación coste-beneficio frente a la pérdida esperada del riesgo.
Una vez que un riesgo se identifica y analiza, la dirección debe decidir qué hacer con él. El CISSP define cuatro opciones de tratamiento, y los entrevistadores quieren tanto la lista como el criterio para elegir entre ellas.
Las cuatro opciones
- Mitigar (reducir) — aplicar controles para bajar la probabilidad o el impacto. Desplegar la MFA para reducir el riesgo de apropiación de cuentas es mitigación. Es el tratamiento más común, pero rara vez lleva el riesgo a cero.
- Transferir (compartir) — trasladar la consecuencia financiera a un tercero, normalmente mediante un ciberseguro o cláusulas contractuales con un proveedor. El evento de riesgo aún puede ocurrir; solo has movido quién paga. No puedes transferir el daño reputacional ni tu rendición de cuentas.
- Evitar — eliminar el riesgo no participando en absoluto en la actividad, p. ej. descontinuar una funcionalidad o declinar entrar en un mercado. Apropiado cuando el riesgo eclipsa la recompensa.
- Aceptar — tomar una decisión informada de tolerar el riesgo, normalmente cuando el coste del tratamiento supera la pérdida esperada. La aceptación debe ser deliberada, documentada y aprobada por el responsable de negocio adecuado.
Riesgo residual
Tras la mitigación, siempre queda algún riesgo residual. La organización debe aceptar conscientemente ese riesgo residual — nunca es decisión exclusiva del equipo de seguridad. La persona adecuada para firmar es el responsable de negocio o la alta dirección cuyo presupuesto y rendición de cuentas toca el riesgo.
Vincularlo al coste-beneficio
La decisión es económica: comparar el ALE del riesgo con el coste de cada tratamiento. Si un control cuesta más que la pérdida que previene, aceptar o transferir puede ser la opción racional. Por eso la selección del tratamiento es gobernanza, no pura ingeniería.
Qué buscan los entrevistadores
Los cuatro términos exactos (mitigar, transferir, evitar, aceptar), un ejemplo concreto de cada uno, el punto de que la transferencia no borra el riesgo, y la claridad de que la aceptación del riesgo corresponde a un responsable de negocio frente a un riesgo residual documentado.
Posibles preguntas de seguimiento
- ¿Quién en la organización está autorizado a aceptar formalmente un riesgo?
- ¿Por qué transferir el riesgo no es lo mismo que eliminarlo?
- ¿Qué es el riesgo residual y cuándo surge?