Tienes que considerar el objetivo de tu análisis de riesgo. Desea evaluar las amenazas y saber si estas constituyen un riesgo para sus activos. Entonces (TL; DR :) sí, debe incluir las medidas actuales.
Para realizar el análisis de riesgos, si nos basamos en los modelos ISO27k, definirá una fórmula de riesgo, evaluará su vulnerabilidad y exposición a los beneficios, y luego obtendrá un nivel de riesgo a través del cálculo de esta fórmula. Si este nivel es más alto que tu nivel de aceptación, debes actuar en él.
No importa si incluye o no la medida actual. Sin la contramedida, debe elevar el nivel por encima de ese umbral y obligarlo a agregar información adicional sobre la contramedida que coloca para reducir el riesgo. Sin embargo, es probable que sea mejor ya tener en cuenta las medidas existentes y tener bien el factor de riesgo resultante (no agregar a su trabajo).
La efectividad de la contramedida es un aspecto totalmente diferente de la gestión de riesgos, y debería aparecer cuantitativamente en otros documentos de su sistema de gestión de riesgos. En caso de que no sean eficientes, tendrá que volver a evaluar los riesgos y cambiarlos.
"el riesgo de una conexión" no es un elemento de riesgo real por cierto. El "robo de datos" o la "suplantación de usuarios" son amenazas para su empresa. Estas amenazas pueden surgir debido a la vulnerabilidad de la conexión (entre otras cosas). Esta vulnerabilidad tiene una probabilidad de ocurrencia específica y un impacto dado si tiene éxito en su negocio. El objetivo del análisis de riesgo es identificar las vulnerabilidades, las amenazas relacionadas, los impactos y la plausibilidad de un ataque exitoso, ya sea que sufra un gran costo o no. Si es así, tienes que hacer algo al respecto.
Para concluir, no veo ningún beneficio real al no tener en cuenta las contramedidas ya implementadas para el análisis de riesgo. Si le preocupa la eficiencia, debe consultar los indicadores de su SGSI.