Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Cuantificación del Ciberriesgo
Debido a la relevancia de las ciberamenazas en el ámbito financiero, la Cuantificación del Ciberriesgo (CRQ) es una necesidad estratégica para las organizaciones. Las evaluaciones de riesgos tradicionales, que a veces se basan en escalas cualitativas y juicios subjetivos, tienen el desafío de proporcionar la precisión y exactitud requeridas por el gobierno corporativo.
Esta cuantificación, por el contrario, traduce el ciberriesgo en términos financieros logrando que las organizaciones mediante los órganos de dirección C-suite y gobierno corporativo, además de otras partes interesadas tomen decisiones basadas en datos, justificar inversiones en ciberseguridad e integral el ciberriesgo en marcos más amplio de la gestión del riesgo corporativo.
■ La Cuantificación del Ciberriesgo (CRQ) evalúa, identifica, valida, mide y analiza ciberriesgos mediante datos y técnicas matemáticas y estadísticas para cuantificar el impacto financiero y la frecuencia de ciberamenazas, ciberataques o ciberincidentes. De acuerdo con el Foro Económico Mundial (WEF) puede integrarse con el método de valor en riesgo (VaR).
Cuantificación del Ciberriesgo
Es común ver las evaluaciones de los ciberriesgos que aplican métodos cualitativos a escalas de riesgo alto, medio o bajo para evaluar las ciberamenazas y vulnerabilidades. Aunque desde este enfoque se puede tener una idea general de la ciberexposición, no obstante, carecen de precisión y a menudo no logran comunicar del todo el ciberriesgo en términos que gobierno corporativo y la C-suite puedan actuar en consecuencia.
La Ciberseguridad deja de ser un centro de costes y se convierte en un activo estratégico cuando aporta valor medible, impulsa la responsabilidad y fortalece la cultura de resiliencia empresarial.
Mediante CRQ ayuda a priorizar las inversiones en Ciberseguridad en función de las pérdidas potenciales monetarias. Al mismo tiempo, las evaluaciones de cualitativas deben de dar paso a lo cuantitativo porque las organizaciones tendrán la oportunidad de asignar presupuestos de forma eficaz, medir el ROI de las iniciativas de ciberseguridad y cumplir con las exigencias legales y regulatorias que cada vez más se abocan por métricas de riesgos cuantificables.
—Por ejemplo, imaginemos el caso de una empresa que se enfrenta a un posible ataque de ransomware, una evaluación cualitativa podría simplemente etiquetar el riesgo como “alto”. Mientras CRQ, estimar la probabilidad de que se produzca el ciberataque, calculadora la perdida financiera esperada y determinar en qué medida los esfuerzos de mitigación; como la compra de una póliza de ciberseguro o la mejora de la seguridad de los activos podría reducir esa exposición.
Trabajo con diversos marcos para la cuantificación, cada uno tendrá sus ventajas; pero me es de gran utilidad Factor Analysis of Information Risk (FAIR) es una metodología más extendida y desglosa el ciberriesgo en componentes como la frecuencia y la magnitud de la perdida para proporcionar un enfoque estructurado y cuantitativo. La excelencia de este modelo esta al momento de traducir los ciberriesgos en términos financieros, por lo que es ideal ya que permite justificar las inversiones necesarias en Ciberseguridad.
Quienes toman decisiones a menudo se enfrentan a desafíos a la hora de priorizar inversiones, evaluar la rentabilidad y justificar presupuestos de Ciberseguridad.
Metodologías y herramientas para la cuantificación del ciberriesgo
Ahora bien, si quieres tener unas capacidades sofisticadas con y aprovechar todo el potencial de FAIR puedes integrarlo con NIST, ISO, CIS e incluso entrelazarlo con indicadores técnicos y tácticos de las operaciones de Ciberseguridad combinado con ciberinteligencia veras el foco holístico en la gestión de riesgos.
Además, podemos tener en cuenta los indicadores clave de rendimiento KPI y los indicadores claves de riesgo KRI, algunos pasan la medición del ciberriesgo incluyen:
- Expectativa de perdida anualizada (ALE), la pedida esperada de incidentes cibernéticos por año.
- Exposición al riesgo en términos financieros, el valor monetario de los ciberriesgos potenciales basados en la probabilidad y el impacto.
- Tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), indicadores de la capacidad organizacional para gestionar y mitigar las ciberamenazas.
- Retorno de la inversión en Ciberseguridad (ROI), rentabilidad de las iniciativas cibernéticas.
Hay otras métricas aparte de estas. Además, las técnicas de modelado financiero, como las simulaciones de Monte Carlo y el análisis bayesiano, ayudan a las organizaciones a cuantificar mediante la estimación de inherentes escenarios de ciberataques y sus consecuencias financieras.
—Por ejemplo, una empresa podría simular cómo un ciberataque interrumpiría su cadena de suministro y luego usar esta información para decidir si vale la pena invertir en herramientas de protección.
■ A diferencia de los riesgos de crédito, mercado y liquidez, cuyos modelos financieros han evolucionado y madurado durante décadas, el ciberriesgo es dinámico, impredecible y está influenciado por comportamientos adversos. Mientras que los riesgos financieros siguen tendencias históricas y comportamientos de mercado, el ciberriesgo está determinado por amenazas cibernéticas emergentes, cambios tecnológicos, factores geopolíticos, humanos e incluso el contexto específico.
Integración del ciberriesgo en la gestión empresarial
A pesar de las diferencias, el ciberriesgo debe integrarse en la gestión de riesgos empresariales (ERM), donde se puede usar el CRQ para traducir las ciberamenaza en exposición financiera, lo que permite gestión los ciberriesgos junto con los riesgos empresariales tradicionales.
Por ejemplo, algunas entidades financieras suelen incluir el ciberriesgo dentro de sus modelos de valor de riesgo (VaR) para estimar perdidas potencias de los ciberataques.
La inteligencia artificial, el aprendizaje automático y el análisis de macrodatos mejora la cuantificación del ciberriesgo:
- Identificación de patrones de ciberataques a partir de vastos conjuntos de datos.
- Predicción de ciberamenazas basados en ciberincidentes.
- Automatizar las evaluaciones de riesgos para mejorar la precisión y eficacia.
- Desarrollar capacidades de prospectiva y previsión estratégica.
He trabajado en casos donde una entidad financiera deseaba utilizar un modelo de ciberriesgos basado en IA para analizar tendencias del ransomware y otros vectores de ataques en el sector, con el fin de predecir la probabilidad de ser atacada. En este proceso, se incorporaron inteligencia de amenazas, datos históricos y otros indicadores técnicos de las operaciones cibernéticas, lo que permitió refinar los modelos de cuantificación y mejorar los procesos de toma de decisiones.
Sin datos cuantificables, el gasto en Ciberseguridad puede volverse ineficiente por una inversión excesiva en amenazas de bajo impacto o insuficiente en vulnerabilidades de alto impacto.
Las aseguradoras cibernéticas o las que tienen pólizas de ciberseguro, se basan en la cuantificación para fijar primas y definir las coberturas. Algunos factores claves que consideran son:
- La postura de ciberseguridad corporativa.
- Gestión de las operaciones cibernéticas (ciberincidentes, ciberataques y brechas de datos).
- Capacidad de respuesta.
- El sector y el ámbito de cumplimiento regulatorio.
- Sostenibilidad, solvencia y liquidez económica y financiera.
- Riesgos derivados de otros riesgos y su relación con ciberseguridad.
■ Las organizaciones con modelos de cuantificación maduros podrían negociar mejores tarifas de ciberseguro demostrando estrategias de mitigación de riesgos y cuantificando las perdidas potencias.
Importancia de la cuantificación en la Ciberseguridad
Es preciso señalar que la cuantificación es un proceso vivo y que se puede integrar a cualquier normativa de Ciberseguridad que demanda de una gestión de ciberriesgos, por ejemplo, los marcos de ciberseguridad de la SEC, GDPR, NIS2, DORA, ENS y otras. Lo cual se alinea con esos marcos al proporcionar métricas de cuantificables de riesgos, haciendo que los esfuerzos de cumplimiento sean más estructurados, transparentes, objetivos y defendibles.
La C-suite y gobierno corporativo cada vez más exigen análisis de costes y beneficios para aprobar las inversiones y la gestión de recursos de Ciberseguridad. La cuantificación permite a los CISO presentar las inversiones cibernéticas como decisiones financieras mostrando como una inversión de 2 millones de euros podría evitar 20 millones en perdidas cibernéticas potencias.
Cuantificar los ciberriesgos en términos financieros mejora la comunicación entre equipos técnicos y ejecutivos, facilitando la gobernanza y la aceptación de decisiones estratégicas.
Al tiempo que se aprovecha la cuantificación para alinear la ciberseguridad con las estrategias empresarial, se garantizan que las ciberestrategias contribuyan de manera significativa a la resiliencia corporativa y la estabilidad financiera.
■ Los ciberriesgos sistémicos, como los ataques de ransomware generalizados o a infraestructuras críticas, pueden afectar negativamente a economías globales. La cuantificación ayuda a modelar los efectos de los riesgos en cascada e identificar las vulnerabilidades sistémicas.
En el sector financiero, se puede simular cómo un ciberataque contra el sistema de pagos podría causar contagios en los mercados globales y extenderse a otros sectores.
Las tecnologías innovadoras y disruptivas redefinirán la cuantificación en varios aspectos:
- Los modelos de inteligencia artificial mejoraran el análisis predictivo de los ciberriesgos.
- La integridad de los datos para las evaluaciones de riesgos puede ser mejora por blockchain.
- La computación cuántica podría crear nuevos riesgos como también mejorar los modelos de seguridad en el ámbito criptográfico.
En vista de la evolución constante de las ciberamenazas, la cuantificación se ha vuelto esencial para navegar en la economía digital. Proporciona a las organizaciones la precisión y claridad necesarias para gestionar el ciberriesgo como una integración estratégica empresarial de alto impacto.
Guía descargable: Caso práctico de cuantificación del ciberriesgo
Después de un ciberataque de ransomware, una hipotética entidad financiera busca cuantificar el ciberriesgo que afecta a sus servicios de banca online. Este ataque cifró los datos de transacciones e interrumpió los servicios. La organización sigue las directrices del estándar ISO 27005 como marco de gestión de riesgo, complementado con la NIST 800-30 para la evaluación cualitativa de riesgos, y emplea FAIR para cuantificar la exposición financiera.
Existe incertidumbre sobre la pérdida financiera potencial debido a la interrupción del negocio, los costes de recuperación, las multas o sanciones legales y regulatorias, así como el daño estratégico y reputacional. Por lo tanto, se necesita evaluar el impacto financiero de la brecha y determinar la estrategia óptima para mitigar el riesgo. Además, se realiza el análisis bayesiano y la simulación Montecarlo.
■ Descarga el Caso práctico de cuantificación de ciberriesgo →
