©Copyright 2013 ISACA. Todos los derechos reservados Riesgo residual Los riesgos que permanecen aun después de que se han diseñado controles y contramedidas se denominan riesgos residuales.

©Copyright 2013 ISACA. Todos los derechos reservados Riesgo residual Para la aceptación definitiva del riesgo residual debe tenerse en cuenta lo siguiente: Cumplimiento regulatorio. La política organizacional. Sensibilidad y criticidad de los activos relevantes. Niveles aceptables de los posibles impactos. Incertidumbre en el enfoque mismo de la valoración de riesgos. Costo y eficacia de la implementación.

©Copyright 2013 ISACA. Todos los derechos reservados Costos y beneficios Cuando se planean los controles o contramedidas, una organización debe considerar los costos y los beneficios de la implementación: —Si el costo de los controles o contramedidas (gastos indirectos por controles) excede los beneficios, una organización puede decidir aceptar el riesgo en vez de incurrir en costos adicionales para proteger sus sistemas.

©Copyright 2013 ISACA. Todos los derechos reservados. Cuando se evalúan los costos debe tomarse en cuenta el costo total de propiedad (TCO) para todo el ciclo de vida del control o de la contramedida. Esto puede incluir elementos como: Costos por adquisición. Costos por configuración e implementación. Costos de mantenimiento recurrentes. Costos de evaluación y prueba. Monitoreo y realización de cumplimiento. Inconvenientes para los usuarios. Rendimiento reducido de los procesos controlados. Capacitación sobre nuevos procedimientos o tecnologías cuando sea aplicable. Desactivación del servicio por fin de la vida útil Costos y beneficios

©Copyright 2013 ISACA. Todos los derechos reservados Re-evaluación del riesgo de eventos que afectan los niveles mínimos de seguridad Se deben establecer procesos de monitoreo para advertir sobre eventos que podrían impactar el programa de seguridad. Actualizar los niveles mínimos de seguridad cuando: Un proveedor identifica algún problema en el software que impacta en el grado de seguridad requerido por la organización. Eventos externos como protestas o conflictos.

©Copyright 2013 ISACA. Todos los derechos reservados Metodologías de valuación de los recursos de información La valoración del activo/recurso puede ser complejo y consumir tiempo, pero es un compromiso esencial requerido para un programa efectivo de gestión de riesgos de la información. Las diversas metodologías de valoración de recursos de la información utilizan diferentes variables. Estas variables pueden incluir el nivel de complejidad técnica y el nivel posible de pérdida financiera directa y consecuencial. Emitir un juicio de valoración incluye una toma de decisión basada en el conocimiento del negocio, las directrices de la gerencia ejecutiva, las perspectivas históricas, las metas del negocio y los factores ambientales. Muchos gerentes de sistemas de información utilizan una combinación de técnicas.