Cuantificación del riesgo cibernético (CRQ)

La cuantificación del riesgo cibernético estima el daño financiero que su organización podría sufrir a causa de exposiciones cibernéticas específicas. 

A diferencia de las evaluaciones cualitativas (que suelen utilizar etiquetas como riesgo "high" [alto] o "medium" [medio]), la CRQ utiliza datos para demostrar las pérdidas en términos reales de dinero. Por es la diferencia de valoración radica en la "cuantificación" de estas pérdidas.

Con la CRQ, sus equipos pueden hacer lo siguiente:

• Comunicar el riesgo en términos financieros que incentiven a líderes empresariales y financieros a alinear la ciberseguridad con objetivos organizativos más generales.
• Comparar sistemáticamente el riesgo a lo largo de diferentes clases de activos o departamentos para comprender dónde es mayor la exposición y dónde son más eficaces los controles.
• Priorizar las decisiones de corrección e inversión en función de las acciones que ofrezcan el mayor potencial para reducir el riesgo financiero grave.
• Utilizar datos estructurados para respaldar los esfuerzos de cumplimiento y proporcionar información justificable para tareas como la planificación y suscripción de seguros.

Los responsables de la ciberseguridad reconocen cada vez más la necesidad de comunicar el riesgo cibernético en términos financieros para apoyar la toma de decisiones más clara a nivel ejecutivo. Este cambio anima a los CISO a conectar los indicadores de riesgo técnico con el impacto para el negocio, para informar la estrategia empresarial.

Además, este cambio presiona a los equipos para que alineen sus estrategias con los resultados de negocios y demuestren su valor más allá de las métricas técnicas. 

La CRQ ayuda de la siguiente manera:

• Ofrece formas coherentes y repetibles de medir el riesgo cibernético para evaluar el progreso y dar seguimiento a los cambios a lo largo del tiempo.
• Formula las decisiones de ciberseguridad en términos financieros para ayudar a priorizar las inversiones y transmitir las compensaciones en un lenguaje que tenga sentido para los ejecutivos.
• Enriquece los debates de los directivos con un análisis objetivo que vaya más allá del lenguaje técnico y cree consenso en torno a las prioridades.

Las herramientas de cuantificación del riesgo cibernético son una parte fundamental de la transformación de los hallazgos más generales de la gestión de vulnerabilidades en acciones financieras. Lea más sobre la gestión de vulnerabilidades aquí.

Las estrategias de CRQ eficaces dependen del nivel de madurez de su organización, de los datos disponibles y de las obligaciones normativas. Dos abordajes habituales son el cualitativo y el cuantitativo.

Los abordajes cualitativos suelen utilizar el juicio de expertos, sistemas de puntuación ordinal y mapas de calor para evaluar el riesgo. Estos métodos son más fáciles de implementar y utilizar cuando no se dispone de datos financieros o de incidentes detallados. Sin embargo, la subjetividad puede limitar la precisión y la coherencia.

Los abordajes cuantitativos se basan en modelos matemáticos, la teoría de la probabilidad y el análisis financiero para calcular la probabilidad y el impacto de amenazas específicas. Estos modelos proporcionan resultados más rigurosos y son más adecuados para la toma de decisiones a nivel directivo, especialmente en relación con la priorización de inversiones o la planificación de seguros.

El abordaje cuantitativo se puede descomponer en los siguientes elementos:

• El análisis factorial del riesgo de la información (FAIR) descompone el riesgo en frecuencia e impacto para producir estimaciones financieras. Las empresas que necesiten evaluaciones de riesgos justificables y repetibles pueden optar por este método.
• El sistema de puntuación de vulnerabilidades comunes (CVSS) es un sistema estandarizado que puntúa la gravedad de las vulnerabilidades conocidas. Si bien es de naturaleza técnica, las puntuaciones de CVSS complementan los cálculos de riesgo más amplios cuando se contextualizan.
• Los modelos bayesianos conforman un abordaje basado en datos que incorpora la incertidumbre a las previsiones de riesgo. Esta técnica es adecuada para entornos dinámicos en los que las hipótesis y los datos pueden cambiar.
• Los modelos estadísticos y actuariales, como los que utilizan las aseguradoras, calculan las pérdidas en función de datos históricos. Apoyan la planificación a largo plazo, pero es posible que no capten las amenazas únicas o que evolucionan con rapidez.
• Los modelos de aprendizaje automático utilizan algoritmos que aprenden de grandes volúmenes de datos para identificar tendencias y predecir resultados. Mejoran la velocidad y la escala, pero la confiabilidad depende en gran medida de la calidad de la entrada de datos.

Cada tipo de modelo tiene sus puntos fuertes y sus limitaciones. Elegir el más adecuado (o combinar varios) depende de los objetivos específicos de su organización y de los recursos disponibles.

¿Busca información sobre la gestión de vulnerabilidades basada en el riesgo? Vea aquí nuestros principios de gestión de vulnerabilidades basada en el riesgo.

Puntos a favor y en contra de los modelos comunes de CRQ

FAIR

Puntos a favor:

• Proporciona un abordaje estructurado y repetible para cuantificar el riesgo en términos financieros.
• Tuvo una amplia aceptación y es compatible con la comunicación a nivel directivo.

Puntos en contra:

• Requiere capacitación y una cantidad significativa de recopilación y estimación de datos.
• Puede requerir muchos recursos para equipos más pequeños.

CVSS

Puntos a favor:

• Ofrece un método normalizado para puntuar las vulnerabilidades técnicas y, al igual que ocurre con FAIR, el sector reconoce ampliamente su uso.

Puntos en contra:

• Se enfoca en las vulnerabilidades individuales más que en el riesgo más general para el negocio.
• No tiene en cuenta el impacto financiero.

Modelos bayesianos

Puntos a favor:

• Son excelentes para crear modelos de incertidumbre y escenarios de amenazas en evolución.
• Funcionan bien con conjuntos de datos incompletos o fluctuantes.

Puntos en contra:

• Su construcción e interpretación pueden resultar complejas.
• Frecuentemente requieren conocimientos estadísticos especializados.

Estadístico/Actuarial

Puntos a favor:

• Sirve para calcular pérdidas basadas en patrones de frecuencia y gravedad, especialmente con datos históricos.

Puntos en contra:

• Depende del acceso a datos históricos de calidad, que no siempre reflejan las amenazas emergentes o avanzadas.

Aprendizaje automático (ML)/inteligencia artificial (IA)

Puntos a favor:

• Procesa grandes volúmenes de datos para identificar patrones ocultos y predecir riesgos futuros con rapidez.

Puntos en contra:

• Requiere datos de entrada a gran escala y de alta calidad para brindar confiabilidad.
• Puede plantear problemas de interpretación a las partes interesadas.

Cuando decida qué modelos de cuantificación del riesgo cibernético desea utilizar, el siguiente paso es ponerlos en práctica. Normalmente se trata de actividades estructuradas que constituyen la base de un programa de CRQ repetible.

Cabe destacar que CVSS es un sistema de puntuación más técnico que puede no seguir estos pasos en su totalidad, a menos que lo integre en su marco más amplio de cuantificación de riesgos. 

Del mismo modo, el aprendizaje automático y los modelos de IA pueden abordar algunos pasos de forma diferente. Suelen inferir patrones en lugar de definir explícitamente las entradas. 

Sin embargo, en general, estos pasos funcionan para la mayoría de los programas de CRQ:

1. Identificar y clasificar los activos

Comience por trazar un mapa de su huella digital. Tenga en cuenta las bases de datos confidenciales, las aplicaciones orientadas al cliente, la infraestructura en la nube y los sistemas de negocios internos. Asigne valores financieros a cada activo en función de los posibles costos de inactividad, pérdida de datos o interrupción del funcionamiento. Por ejemplo, un portal de clientes vinculado a los ingresos puede implicar más riesgos que un entorno de pruebas.

2. Evaluar las amenazas y vulnerabilidades

Analice cómo los agentes maliciosos podrían atacar los sistemas. Utilice escáneres de vulnerabilidades e historiales de incidentes para saber qué activos están más expuestos. Por ejemplo, un sistema operativo sin parches con una vulnerabilidad crítica y exploits activos supone un riesgo mucho mayor que un servidor interno con hallazgos de baja gravedad.

3. Analizar las posibles repercusiones

Piense tanto en los costos evidentes (multas reglamentarias, gastos de recuperación) como en los efectos más difíciles de medir (daño en la reputación, clientes que pierden la confianza en usted). Cuando se modelan estos impactos a lo largo de diferentes escenarios de ataque, la junta directiva puede ver el potencial costo real de los incidentes cibernéticos para la empresa. 

4. Calcular y agregar riesgos

Introduzca datos en su modelo de CRQ para calcular la exposición a pérdidas de cada par amenaza-activo. Puede agregar los resultados para identificar el riesgo acumulado a lo largo de los departamentos o unidades de negocio. Esta recopilación ayuda a priorizar las inversiones en ciberseguridad con base en el impacto financiero.

Datos incompletos o incoherentes

Una cuantificación eficaz del riesgo cibernético empieza por disponer de buenos datos. Si su inventario de activos no está actualizado o sus informes de incidentes son demasiado ambiguos, no podrá obtener estimaciones precisas de las pérdidas. Esto desbarata sus modelos de riesgo y hace que se enfoque en las prioridades de seguridad equivocadas.

Escenario de las amenazas cambiante

Las amenazas cibernéticas están en constante evolución. Todo el tiempo aparecen nuevos vectores de ataque y vulnerabilidades. Si no actualiza periódicamente sus modelos de CRQ, estos quedarán rápidamente obsoletos o incluso resultarán engañosos. Siga recibiendo inteligencia de amenazas actualizada y manteniendo al día sus modelos para que se ajusten a lo que realmente ocurre en su entorno.

Impactos intangibles que son difíciles de medir

Las consecuencias más perjudiciales de los incidentes cibernéticos, como la pérdida de confianza en la marca, el impacto en la cotización de las acciones o el daño a la reputación a largo plazo, son difíciles de cuantificar inmediatamente. 

Se pueden utilizar aproximaciones financieras, pero estas estimaciones son inciertas por naturaleza. No obstante, omitirlas por completo puede infravalorar el riesgo real.

La CRQ también depende de las herramientas adecuadas para ejecutar modelos y presentar resultados.

Tenable proporciona soporte básico para la CRQ con lo siguiente:

• Vulnerability Management le ofrece visibilidad hacia todos sus activos para identificar dónde es mayor la exposición. Puede utilizarlo para crear una base de referencia que le permita calcular el riesgo de forma significativa.
• Tenable One es una plataforma unificada de gestión de exposición que agrega datos de vulnerabilidades, activos, nubes e identidades. Proporciona a sus equipos de seguridad el contexto que necesitan para cuantificar y reducir el riesgo en términos financieros.

Tenable One también se integra con pilas tecnológicas existentes (p. ej., bases de datos de gestión de configuraciones [CMDB], plataformas de detección y respuesta de puntos de conexión [EDR], sistemas de información y sistemas de gestión de eventos [SIEM], sistemas nativos de la nube, herramientas de orquestación, automatización y respuesta de seguridad [SOAR]) para actualizar constantemente los modelos.

En las normas reglamentarias más frecuentes, se hace hincapié en la necesidad de métodos de evaluación de riesgo medibles y basados en datos. 

La cuantificación del riesgo cibernético ayuda a su organización a reunir pruebas de cómo se identificaron y priorizaron los riesgos. Es vital para el contexto normativo, la transparencia y la responsabilidad. 

Ejemplos:

• NIST Cybersecurity Framework y 800-53800-53 promueven la toma de decisiones basada en el riesgo y abogan por la evaluación constante de los controles de seguridad.
• A través de la norma ISO 27005, se fomenta el abordaje estructurado de la gestión de riesgo de seguridad de la información y la preferencia por conocimientos cuantificables.
• En HIPAA, RGPD y PCI DSS, se exige la evaluación y documentación del riesgo de datos confidenciales y la demostración de protecciones eficaces.
• Los controles CIS destacan la importancia de las evaluaciones formales de riesgos como parte de la higiene básica de ciberseguridad.

Mantenga los modelos actualizados

A medida que evoluciona su escenario de activos o la inteligencia de amenazas descubre nuevos riesgos, es fundamental actualizar los modelos. 

Involucre a las partes interesadas adecuadas

Incluya a las partes interesadas de gestión de riesgo, finanzas, cumplimiento y TI para garantizar que su abordaje de CRQ refleje las prioridades del mundo real. 

Considere la posibilidad de una revisión a cargo de terceros

Una evaluación externa de sus modelos de CRQ puede revelar puntos ciegos, confirmar suposiciones y mejorar la confianza de los ejecutivos en sus resultados. La validación independiente también refuerza las auditorías internas y respalda las investigaciones reglamentarias.

Alinee la CRQ con los objetivos de negocios

Vincule los resultados de la CRQ con objetivos específicos de negocios como el tiempo de actividad, el cumplimiento normativo o la reputación de la marca.

Utilice la CRQ para la planificación estratégica

En lugar de limitar la CRQ a la toma de decisiones técnicas, utilice sus resultados para orientar la planificación a largo plazo de presupuestos, seguros e inversiones.

La CRQ se convertirá en una piedra angular de la ciberseguridad. Cada vez más organizaciones utilizarán la CRQ para justificar presupuestos e impulsar la inversión en función de las pérdidas potenciales.

Más automatización e IA generativa. Las herramientas modernas de CRQ seguirán incorporando la automatización y la IA para analizar los datos más rápidamente y simular los resultados. Estas funciones optimizarán los procesos manuales y ayudarán a los equipos a tomar medidas más eficaces.

Orientación a la cuantificación constante del riesgo. La CRQ se convertirá más en una capacidad constante, no en una tarea que funciona sin supervisión.

Mayor enfoque en los riesgos de terceros y de la cadena de suministro. Cada vez más organizaciones utilizarán la CRQ para evaluar el riesgo financiero que plantean las partes interesadas externas, lo que ayudará a sus equipos de seguridad y adquisiciones a priorizar dónde mitigar la exposición.

¿Qué es CRQ?
La cuantificación del riesgo cibernético (CRQ) estima las pérdidas financieras derivadas de las amenazas a la ciberseguridad. Utiliza datos estructurados y modelos para ayudar a las organizaciones a comprender su exposición potencial en términos de negocios.

¿Por qué es útil la CRQ?
La CRQ conecta los riesgos de ciberseguridad con los resultados de negocios, para que pueda priorizar las acciones y justificar la asignación de recursos con un impacto medible.

¿En qué se diferencia la CRQ de una evaluación de riesgo estándar?
La CRQ cuantifica el riesgo en términos financieros en lugar de basarse únicamente en la puntuación estática de la vulnerabilidad, como "high" (alta) o "low" (baja), para tomar decisiones más claras.

¿Qué datos necesita la CRQ?
La CRQ depende de varias entradas de datos: inventarios de activos, vulnerabilidades conocidas, inteligencia de amenazas, historial de incidentes e impacto estimado para el negocio.

¿Se puede medir realmente el riesgo cibernético en dólares?
Sí. Aunque las estimaciones varían, la CRQ le ofrece una visión direccional de las pérdidas potenciales que respalda la planificación y la comunicación basadas en el riesgo.

¿Qué es el modelo FAIR?
FAIR es un marco ampliamente utilizado que divide el riesgo en dos elementos básicos: frecuencia de los acontecimientos e impacto financiero. Ayuda a estandarizar la forma de abordar el análisis del riesgo cibernético.

¿Qué tan precisa es la CRQ?
La precisión de la CRQ depende de la calidad e integridad de los datos y de la frecuencia con que se actualicen los modelos. La transparencia y la iteración mejoran los resultados.

¿Qué herramientas ayudan con la CRQ?
Las plataformas como Tenable One pueden ayudarle a agregar datos de exposición, priorizar riesgos y respaldar la CRQ con información actualizada y alineada con el negocio.

¿Quién debe participar en los procesos de CRQ?
La CRQ requiere la aportación interfuncional de los equipos de seguridad, TI, riesgo, finanzas y ejecutivo para garantizar una comprensión compartida de las prioridades y la exposición.

¿Con qué frecuencia debemos hacer la CRQ?
La CRQ debe llevarse a cabo regularmente (la frecuencia suele ser trimestral) o después de cambios significativos en el escenario de las amenazas o el entorno de TI.

¿Qué dificulta la implementación de la CRQ?
Algunas organizaciones tienen dificultad con la visibilidad limitada de datos, la propiedad incoherente y la traducción de los riesgos técnicos en un impacto empresarial significativo.

¿La CRQ ayuda a cumplir las normativas?
Sí. La CRQ apoya el cumplimiento, ya que alinea los controles de seguridad con el riesgo financiero para mejorar la preparación de auditorías y la generación de informes.

¿Cómo apoya la CRQ los debates sobre seguros?
La CRQ ofrece a las aseguradoras una visión más clara de la exposición potencial para que usted pueda negociar mejores condiciones y una cobertura acorde a su perfil de riesgo.

Tenable simplifica la CRQ con capacidades que admiten la recopilación de datos, el modelado de riesgos y la generación de informes alineados con el negocio. Tenable One agrega datos de exposición de vulnerabilidades, activos, entornos en la nube e identidades para crear una visión integral del riesgo cibernético. Se basa en funciones básicas como la gestión de vulnerabilidades y la gestión de exposición para que sus equipos tengan la visibilidad que necesitan para una cuantificación justificable del riesgo cibernético.