Riesgo Residual: Por Qué las Etiquetas de Severidad Mienten
El Problema de las Etiquetas de Severidad
Todos los CSPM del mercado usan etiquetas de severidad: LOW, MEDIUM, HIGH, CRITICAL. Son simples. Tienen colores. Y son fundamentalmente engañosas.
La razón: la severidad se asigna al control, no al recurso. Cuando un control dice "Los usuarios IAM deben tener MFA habilitado" y le asigna severidad HIGH, cada usuario sin MFA recibe esa misma etiqueta HIGH — sin importar el contexto.
Pero el contexto lo es todo.
Mismo Control, Diferente Riesgo
Considera este escenario. Tres usuarios IAM fallan el mismo check de MFA:
| Usuario | Tiene MFA | Contexto | Riesgo Real |
|---|---|---|---|
admin_user | No | Acceso admin completo, sin política de denegación | CRITICAL |
marketing_readonly | No | Rol de solo lectura, limitado a S3 | LOW |
dev_user | No | Acceso power user, pero política de aplicación de MFA activa | MEDIUM |
Los tres fallan el mismo control. Los tres reciben la etiqueta HIGH con herramientas tradicionales. Pero el riesgo real va de genuinamente crítico a prácticamente despreciable.
¿Qué Es el Riesgo Residual?
El riesgo residual es el riesgo real restante después de considerar todos los factores contextuales:
- Permisos: ¿Qué puede hacer realmente este recurso?
- Configuraciones: ¿Hay controles compensatorios activos?
- Dependencias: ¿A qué se conecta este recurso?
- Exposición: ¿Este recurso está expuesto a internet?
Analizando estos factores, calculamos una puntuación que refleja la realidad — no solo una etiqueta de severidad genérica.
Cómo Vigimati Calcula el Riesgo Residual
Cuando un recurso falla un control, Vigimati no se detiene en el fallo. Evalúa:
- Severidad base — el riesgo inherente del control
- Contexto del recurso — permisos, políticas y configuraciones
- Controles compensatorios — mitigaciones que reducen la exposición
- Factores ambientales — exposición de red, sensibilidad de datos
El resultado es una puntuación de 0 a 10 que te dice exactamente cuánto deberías preocuparte por cada hallazgo específico.
Por Qué Esto Importa
Cuando tu CSPM muestra 5.000 hallazgos HIGH, no sabes por dónde empezar. Cuando Vigimati te muestra que 200 de esos tienen un riesgo residual superior a 8.0, sabes exactamente qué arreglar primero.
La priorización no va de severidad. Va de contexto.
Sobre Vigimati Team
The team behind Vigimati, building context-aware cloud security compliance.