Resumen

  • La evaluación cuantitativa de riesgos traduce el riesgo de ciberseguridad a términos financieros.
  • Puede utilizar el resultado de una evaluación cuantitativa de riesgos para decidir su respuesta al riesgo: evitarlo, aceptarlo, transferirlo o mitigarlo.
  • Un marco de apetito de riesgo le permite gestionar casos con matices o ambiguos en los que la respuesta al riesgo adecuada no está clara.
  • En conjunto, estos procesos ayudan a las organizaciones a equilibrar los imperativos de seguridad con los objetivos de negocio.

La evaluación cuantitativa de riesgos ofrece un enfoque objetivo para el análisis de riesgos, pero comprender el riesgo es solo el primer paso. En este artículo se explica cómo interpretar los resultados y convertir esos conocimientos en decisiones significativas en un entorno real.

(Aunque este artículo no aborda cómo realizar un análisis cuantitativo de riesgos, puede profundizar en el proceso en nuestra Guía para la evaluación de riesgos basada en datos.)

Comprender la cuantificación del riesgo

Empecemos por lo básico: ¿qué es exactamente la evaluación cuantitativa de riesgos?

¿Qué es la cuantificación del riesgo?

La evaluación cuantitativa de riesgos (a veces abreviada como QRA) asigna un valor monetario a un riesgo de ciberseguridad en función de su impacto potencial y su probabilidad. Plantea la pregunta: Si este activo queda expuesto a través de esta vulnerabilidad, ¿cuánto nos costará? A diferencia de los métodos cualitativos, que clasifican los riesgos en categorías de gravedad, un enfoque cuantitativo ofrece una visión más objetiva.

¿Por qué es importante? Las evaluaciones cualitativas de riesgos de ciberseguridad dejan mucho más margen a la interpretación. Traducir el riesgo al lenguaje del negocio —es decir, a cifras económicas— elimina gran parte de esta ambigüedad y ayuda a los líderes ajenos al ámbito de la seguridad a comprender qué significa realmente un riesgo “alto” en su contexto.

¿Cómo encaja la cuantificación del riesgo en una estrategia de ciberseguridad más amplia?

Cuantificar el riesgo es una herramienta esencial para gestionar la exposición, pero no es el objetivo final. Más bien, sienta las bases para tomar decisiones de mitigación del riesgo.

Por ejemplo, cuando se puede presentar la exposición al riesgo como, por ejemplo, “1,5 millones de dólares en daños potenciales debido a que un proveedor utiliza comunicaciones en la nube sin cifrar”, resulta más fácil sopesar las opciones para responder a ese riesgo, algo que analizaremos con más detalle más adelante en este artículo.

Interpretar el análisis cuantitativo de riesgos: elementos clave

Hay algunos elementos clave de un análisis cuantitativo de riesgos que es importante comprender para interpretar los resultados.

  • Valor del activo (AV): Lo que vale para su organización el activo que se protege.
  • Factor de exposición (EF): El porcentaje del valor del activo que puede perderse o verse comprometido si el riesgo se materializa.
  • Tasa anualizada de ocurrencia (ARO): La frecuencia con la que se espera que ese riesgo se materialice cada año. (Puede ser inferior a 1 en el caso de riesgos que se materializan menos de una vez al año).

Estas tres cifras permiten calcular:

  • Pérdida única esperada (SLE): El valor financiero que se perdería en un único evento de amenaza si el riesgo se materializa. Este valor se calcula mediante la fórmula AV x EF.
  • Pérdida anual esperada (ALE): El valor financiero que se perdería anualmente si el riesgo se materializa. Este valor se calcula mediante la fórmula SLE x ARO.
  • ALE residual: El valor financiero que se perdería anualmente si el riesgo se materializa después de aplicar mitigaciones. Las mitigaciones reducen el EF, la ARO o ambos, pero, por lo demás, los cálculos siguen siendo los mismos.

La ALE es el principal resultado del análisis de riesgos y la cifra más importante que utilizará para sopesar sus opciones de respuesta al riesgo. Pero no es una cifra perfecta, por eso hay un elemento clave más: incertidumbre.

AV, EF y ARO son estimaciones. Lo ideal es que sean estimaciones muy precisas, basadas en una investigación rigurosa, pero siguen siendo estimaciones. El nivel de confianza que debería tener en esas estimaciones suele representarse mediante un nivel de confianza (por ejemplo, 80 %), seguido de una lista de incógnitas.

Del análisis a la práctica: respuesta al riesgo

Hasta ahora hemos explicado cómo interpretar una evaluación cuantitativa de riesgos. Pero el propósito último del análisis de riesgos es decidir qué hacer con ese riesgo.

En términos generales, todas las respuestas al riesgo se encuadran en una de cuatro categorías: evitar, aceptar, transferir o mitigar.

Evitar

Evitar el riesgo significa eliminar por completo la exposición. Es la única respuesta al riesgo que lo reduce realmente a cero. En términos prácticos, esto implica cerrar un proceso o sistema que conlleva riesgo.

Evitar el riesgo es, en la práctica, una opción drástica y rara vez viable. Por ejemplo, se puede reducir a cero el riesgo de phishing cerrando todo el intercambio de correo electrónico externo. Si se trabaja en asuntos de seguridad nacional, puede que merezca la pena. Para la mayoría de organizaciones, esto paralizaría las operaciones empresariales.

Su análisis de riesgos podría respaldar esta respuesta en dos situaciones: si la ALE es tan extrema que ninguna estrategia de mitigación puede reducirla a un nivel aceptable, o si existe una alternativa equivalente al proceso o sistema que conlleva riesgo y que reduciría el EF o la ARO a cero.

Aceptar

Aceptar el riesgo significa optar por no hacer nada. Aunque a primera vista pueda parecer poco razonable, es una opción que merece una consideración seria.

Hay un escenario muy claro en el que aceptar el riesgo es la mejor opción: cuando el coste de la mitigación supera la ALE residual (es decir, la ALE después de la mitigación). En esta situación, proteger a su organización cuesta más de lo que podría perder.

Pero también hay situaciones más matizadas en las que la aceptación tiene sentido. Estas tienen en cuenta el coste de oportunidad de mitigar un riesgo, ya sea centrado estrictamente en el equipo de seguridad o como coste de oportunidad para el negocio en su conjunto.

Ningún equipo de seguridad dispone de recursos ilimitados. La aceptación es una opción razonable (aunque incómoda) si optar por mitigar este riesgo implica desviar recursos de una exposición más preocupante. Especialmente cuando la estrategia de mitigación es muy manual y requeriría muchas horas de personal para implementarse, ¿qué dejan de hacer esas personas para poder dedicar su tiempo a este esfuerzo?

También hay que considerar un coste de oportunidad más amplio: las oportunidades a las que el negocio tendría que renunciar para mitigar o evitar el riesgo. En otras palabras, la aceptación puede tener sentido cuando la oportunidad de negocio es mayor que la ALE. Este podría ser el caso si, por ejemplo, se abre un centro de datos en un país extranjero para ofrecer servicios en la nube a un nuevo mercado. Aunque esto expone a la organización a nuevos riesgos de seguridad, existe un beneficio empresarial claro.

Transferir

Transferir el riesgo significa trasladar la carga a otra parte, normalmente mediante un seguro de ciberseguridad. En términos generales, transferir el riesgo a un seguro es una opción cuando el seguro cuesta menos que la ALE, aunque hay algunas consideraciones importantes.

En primer lugar, el seguro solo cubre el coste financiero de un incidente de seguridad. Los incidentes de seguridad también llevan asociados daños legales y reputacionales. Si la ALE tuvo en cuenta estos daños y les asignó un valor monetario (como idealmente debería haber hecho), deberá desglosar esa cifra para analizar únicamente los costes financieros inmediatos. Transferir el riesgo tiene sentido cuando el riesgo financiero es alto, pero los riesgos legales y reputacionales son bajos.

En segundo lugar, es casi seguro que el seguro exigirá que tenga implantados algunos controles de seguridad, y también podría dejar de cubrir incidentes recurrentes. Esto significa que tendrá que sumar el coste de esos controles al coste del seguro, lo que posiblemente cambie el cálculo. También significa que transferir el riesgo a un seguro solo puede ser una medida temporal para un riesgo con una ARO alta.

Mitigar

La mitigación es la respuesta más proactiva: permite reducir la exposición aplicando controles de seguridad, parcheando vulnerabilidades, corrigiendo configuraciones incorrectas, etc.

La mitigación no eliminará su exposición; la única forma de hacerlo es evitar el riesgo por completo. En cambio, la mitigación reduce el riesgo mediante medidas para disminuir el EF, la ARO o ambos. Después puede calcular una nueva ALE, conocida como ALE residual.

En general, la mitigación es una opción sólida cuando la diferencia entre la ALE original y la ALE residual es mayor que el coste de la mitigación.

Incorporar el apetito de riesgo (o cómo gestionar los casos límite)

No todas las evaluaciones de riesgos ofrecen una elección de respuesta evidente. Siempre habrá casos en los que los márgenes entre dos opciones sean estrechos o el nivel de incertidumbre sea alto. Incorporar el apetito de riesgo le ayudará a interpretar esos casos límite. El apetito de riesgo no suele formar parte de un análisis de riesgos, pero es un marco útil para interpretar dicho análisis.

(Si su organización aún no tiene documentado su apetito de riesgo, puede utilizar esta plantilla editable de declaración de apetito de riesgo como punto de partida).

El apetito de riesgo es el nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos. Un apetito de riesgo alto significa estar abierto a aceptar mayores riesgos a cambio de posibles mayores recompensas, mientras que un apetito de riesgo bajo significa que se prefiere reducir el riesgo todo lo posible. El apetito de riesgo existe en múltiples dimensiones: puede haber un apetito alto por el riesgo operativo, pero un apetito bajo por el riesgo de cumplimiento normativo.

Dentro de cada una de estas dimensiones (riesgo de seguridad, riesgo de cumplimiento normativo, riesgo de innovación, etc.), hay varios factores clave que considerar:

  • Capacidad de riesgo es la cantidad máxima de riesgo que una organización puede asumir, normalmente determinada por los recursos financieros, las capacidades operativas y las restricciones normativas.
  • Tolerancia al riesgo es una desviación aceptable respecto a su objetivo.
  • Umbrales de riesgo son “líneas rojas” que indican la necesidad de cambiar de estrategia.

El umbral entre la tolerancia y la capacidad, o incluso entre distintos grados de tolerancia, puede ayudarle a ordenar las zonas grises, donde no está claro cuál es la respuesta al riesgo adecuada.

Convertir los conocimientos en acción

Comprender una evaluación cuantitativa de riesgos es solo el primer paso; el verdadero valor está en utilizar esos conocimientos para actuar. Ya sea mediante la evitación, aceptación, transferencia o mitigación del riesgo, el objetivo es el mismo: equilibrar los riesgos de seguridad con las prioridades del negocio para poder actuar con decisión.

Preguntas frecuentes

¿Qué es la evaluación cuantitativa de riesgos?La evaluación cuantitativa de riesgos, a veces abreviada como QRA, es un proceso formal para asignar un valor financiero a un riesgo de ciberseguridad en función de su impacto potencial y la probabilidad de que ocurra.

¿Qué es la pérdida anual esperada? La pérdida anual esperada es el principal resultado de una evaluación cuantitativa de riesgos. Es el valor financiero que se perdería anualmente si este riesgo se materializa. Se calcula mediante la fórmula Pérdida única esperada (SLE) x Tasa anualizada de ocurrencia (ARO), donde la pérdida única esperada es Valor del activo (AV) x Factor de exposición (EF).

¿Qué es el apetito de riesgo?El apetito de riesgo es el nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos. Influye en las decisiones de respuesta al riesgo al proporcionar un marco para evaluar las compensaciones entre los riesgos de seguridad y las prioridades del negocio.