Ciberseguridad y privacidad digital

¿Por qué apostar por la cuantificación de riesgos de ciberseguridad?

Daniel Sanchez
Daniel Sánchez-Carnerero Polo
Senior manager, FS-Consulting Ciberseguridad de KPMG España
13 marzo, 2024
2 min

Desde la perspectiva de un CISO (Chief Information Security Officer), la evaluación de riesgos es esencial para identificar amenazas que puedan afectar el negocio. Sin embargo, la cuantificación del riesgo de ciberseguridad es lo que realmente impulsa la toma de decisiones. ¿Por qué? Imagina enfrentarte a una serie de riesgos de ciberseguridad: desde malware y ransomware hasta ataques DDoS y exploits Zero-days. Clasificarlos como alto, medio o bajo es un enfoque tradicional, pero estas categorías pueden interpretarse de manera diferente por diferentes personas. ¿Qué significa realmente un riesgo “medio”? La ambigüedad dificulta la toma de decisiones.

La cuantificación de riesgos permite transformar términos ambiguos en cifras concretas, aportando claridad tanto al equipo de ciberseguridad como al conjunto del negocio

Ahora, considera esto: ¿qué pasaría si te dijeran que un ataque de malware podría costarte 3 millones de euros en pérdidas? ¿Y que hay un 60% de posibilidades de evitar esa pérdida? Aquí es donde entra en juego la cuantificación, que permite transformar términos ambiguos en cifras concretas, aportando claridad tanto al equipo de ciberseguridad como al conjunto del negocio. Concretamente, lo idónea es adoptar un enfoque basado en escenarios, que permita evaluar con mayor precisión la probabilidad e impacto de los ciberataques.

Algunos de estos escenarios podrían ser:

  • Ransomware
  • Fuga interna de datos
  • Compromiso de terceras partes

Así, la cuantificación ofrece la posibilidad de expresar cuantitativamente el riesgo de ciberseguridad, presentar casos de inversión y determinar la inversión óptima. Además, se alinea con buenas prácticas de la industria y utiliza técnicas estadísticas para cuantificar los riesgos, lo que garantiza, además, una visión integral de las posibles pérdidas financieras en caso de un ciberataque, ayudando a priorizar los esfuerzos de mitigación.

Casos de uso de la cuantificación de riesgos de ciberseguridad

A la hora de aterrizar la aplicación práctica de esta técnica de medición de riesgos, estos son algunos ejemplos de casos de uso:

  1. Definición y evaluación de estrategias de ciberseguridad: evalúa la efectividad de diferentes estrategias de seguridad. Esta metodología ayuda a adaptar y mejorar las prácticas de seguridad existentes, pudiendo obtener información muy valiosa para la priorización de los Planes Estratégicos de ciberseguridad.
  2. Evaluación en términos cuantitativos de la postura de riesgo de ciberseguridad: cuantifica las posibles pérdidas financieras en caso de un ciberataque o que se materialicen los diferentes escenarios de riesgo planteados. Facilita la toma de decisiones informadas sobre medidas de mitigación.
  3. Priorización de inversiones en seguridad: ayuda a las organizaciones a identificar las áreas más críticas y asignar recursos de manera óptima. Permite evaluar diferentes escenarios y determinar dónde invertir para maximizar la protección.
  4. Es un aliado más en los procesos de Deal: ofrece información de gran utilidad durante los procesos de M&A, obteniendo con detalle los riesgos y su correspondiente cuantía para ajustar las valoraciones de acuerdo con los resultados obtenidos.
¿Estás listo para tomar decisiones informadas y proteger lo que más valoras?
Te ayudamos

En el vertiginoso mundo de la ciberseguridad, la cuantificación de riesgos llega para transformar los riesgos y amenazas en oportunidades. ¿Qué lo hace tan especial?

  1. Escenarios realistas, decisiones concretas: esta técnica no se limita a extraer estimaciones. En lugar de puntuaciones abstractas, se basa en escenarios reales. Imagina esto: un ataque de ransomware que podría costarte 3 millones de euros.
  2. La cuantificación que transforma: Si “alto”, “medio” y “bajo” eran las únicas opciones con las que contaban los profesionales de ciberseguridad hasta hoy, esta técnica es capaz de determinar que “un riesgo tiene un 60% de probabilidad de producirse y podría costar X cantidad”. Así, aporta información objetiva, basada en datos y cuantificable con la que poder hacer estimaciones reales y tomar decisiones informadas.
  3. La Dirección quiere números: presentar casos de inversión en seguridad ante la junta directiva solía ser un juego de adivinanzas. Ahora, con la cuantificación de riesgos, presentar casos objetivos en base a un complejo modelo de escenarios de riesgo basados en amenazas es algo factible y fácilmente defendible.
  4. La resiliencia como prioridad: no se trata solo de proteger datos. Es sobre proteger el futuro de tu organización. Cyber Risk Insights te ayuda a tomar decisiones estratégicas para fortalecer tus defensas.

En definitiva, en un momento en el que el avance de la tecnología está permitiendo a los ciberdelincuentes sofisticar sus vectores de ataque: el 74% de los CEO afirma que la IA puede proporcionar nuevas estrategias para llevar a cabo ciberataques, es crucial contar con un compañero de viaje que nos ayude a tomar decisiones en base a la información veraz y medible de nuestra organización y nuestro entorno. Solo así podremos ser capaces de prevenir y minimizar su impacto en nuestra organización.

Artículos relacionados