{"id":428,"date":"2026-02-12T17:42:05","date_gmt":"2026-02-12T16:42:05","guid":{"rendered":"https:\/\/ap4592jwt1io3f.apeiroo.com\/?p=428"},"modified":"2026-03-09T08:16:02","modified_gmt":"2026-03-09T07:16:02","slug":"data-driven-cyber-risk-quantification-2","status":"publish","type":"post","link":"https:\/\/apeiroo.com\/es_ES\/data-driven-cyber-risk-quantification-2\/","title":{"rendered":"Cuantificaci\u00f3n del riesgo cibern\u00e9tico basada en datos. Parte 2."},"content":{"rendered":"
\n
\n
\n

<\/p>\n

Gu\u00eda estrat\u00e9gica para los directores de seguridad de la informaci\u00f3n<\/p>\n

<\/p>\n

<\/p>\n

1<\/strong>. C\u00e1lculo del impacto de los incidentes cibern\u00e9ticos<\/strong><\/h1>\n

<\/p>\n

<\/p>\n

Continuemos nuestro recorrido para comprender c\u00f3mo utilizar los datos para impulsar nuestras decisiones estrat\u00e9gicas sobre el desarrollo y la presupuestaci\u00f3n de nuestra estrategia cibern\u00e9tica.<\/p>\n

<\/p>\n

<\/p>\n

Se han realizado varios intentos para calcular el coste por hora del tiempo de inactividad de una organizaci\u00f3n que se enfrenta a un incidente cibern\u00e9tico (independientemente del tipo).
En 2014, un estudio de Gartner sobre el coste del tiempo de inactividad arroj\u00f3 una estimaci\u00f3n de 5600 d\u00f3lares por minuto. M\u00e1s tarde, en 2016, el Ponemon Institute calcul\u00f3 la cifra en 9000 d\u00f3lares por minuto.<\/p>\n

<\/p>\n

<\/p>\n

Independientemente del negocio, y aunque var\u00eda seg\u00fan la empresa, un ciberincidente siempre es costoso. No obstante, utilizar una media derivada de los datos de las empresas m\u00e1s destacadas puede no ayudar adecuadamente a un CISO a convencer al consejo de administraci\u00f3n de la necesidad de invertir en estrategia cibern\u00e9tica. Por lo tanto, para proporcionar algo significativo a su organizaci\u00f3n, debemos utilizar una calculadora y los datos de su propia empresa.<\/p>\n

<\/p>\n

<\/p>\n

A pesar de que ni el Ponemon Institute ni Gartner revelan las f\u00f3rmulas que utilizan para cuantificar las cantidades econ\u00f3micas derivadas de las violaciones de datos, afirman claramente que han tenido en cuenta las actividades legales, normativas y t\u00e9cnicas, as\u00ed como la estimaci\u00f3n de la p\u00e9rdida de valor de marca, la rotaci\u00f3n de clientes y la disminuci\u00f3n de la productividad de los empleados.<\/p>\n

<\/p>\n

<\/p>\n

\"\"<\/figure>\n

<\/p>\n

<\/p>\n

Fuente<\/strong>: IBM y Ponemon Institute, an\u00e1lisis de Apeiroo<\/p>\n

<\/p>\n

Las cifras representan el coste en millones de d\u00f3lares estadounidenses de una violaci\u00f3n de datos cibern\u00e9ticos<\/p>\n

<\/p>\n

<\/p>\n

Todos estos elementos nos dan pistas sobre c\u00f3mo realizar nuestros propios c\u00e1lculos sobre las finanzas de los ciberincidentes. En aras de la transparencia, hemos decidido arrojar algo de luz sobre estos componentes. Consideramos muy lamentable que ning\u00fan estudio anterior haya publicado una metodolog\u00eda clara para que los CISO calculen por s\u00ed mismos los costes de un ciberincidente. Este es nuestro intento de calcular el coste aproximado de los ciberincidentes, teniendo en cuenta los gastos directos, indirectos y de oportunidad:<\/p>\n

<\/p>\n

<\/p>\n

    \n
      <\/p>\n
    • Costes directos: <\/strong>El\u00a0gasto directo para llevar a cabo una actividad determinada (por ejemplo, contratar asesores externos de respuesta a incidentes, externalizar el servicio de asistencia telef\u00f3nica).<\/li>\n<\/ul>\n<\/ul>\n

      <\/p>\n

      <\/p>\n

        \n
          \n
        • Costes indirectos: <\/strong>La cantidad de tiempo, esfuerzo y otros recursos organizativos gastados, pero no como un desembolso directo de efectivo (por ejemplo, investigaciones internas, comunicaciones internas).<\/li>\n<\/ul>\n<\/ul>\n

          <\/p>\n

          <\/p>\n

            \n
              \n
            • Costes de oportunidad: <\/strong>Costes derivados de la p\u00e9rdida de oportunidades de negocio como consecuencia de los efectos negativos sobre la reputaci\u00f3n despu\u00e9s de que la violaci\u00f3n se haya comunicado a las v\u00edctimas y se haya revelado p\u00fablicamente a los medios de comunicaci\u00f3n.<\/li>\n<\/ul>\n<\/ul>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.1 C\u00e1lculo del coste salarial por tiempo de inactividad<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              Calcular el impacto financiero en la productividad es un proceso sencillo:<\/p>\n

              <\/p>\n

              <\/p>\n

              Paso 1:<\/strong> Determinar el salario medio por hora de los empleados afectados. Se puede obtener f\u00e1cilmente a trav\u00e9s del departamento de recursos humanos. Es aceptable una estimaci\u00f3n media que no se aleje demasiado de la cifra totalmente validada.<\/p>\n

              <\/p>\n

              <\/p>\n

              Paso 2:<\/strong> Decida el factor de impacto en la productividad del evento de tiempo de inactividad. (Por ejemplo, si se pierde su conexi\u00f3n principal a Internet debido a un ataque de denegaci\u00f3n de servicio (DDoS) y no tiene una copia de seguridad, \u00bfqu\u00e9 significar\u00eda eso para todos sus departamentos?) Esto puede ser tan bajo como el 10 % o tan alto como el 100 %, dependiendo de cu\u00e1l sea la interrupci\u00f3n y de la naturaleza del trabajo de los empleados afectados.<\/p>\n

              <\/p>\n

              <\/p>\n

              Coste del tiempo de inactividad = E \u00d7 I% \u00d7 S<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Donde:<\/p>\n

              \u2022 E = N\u00famero de empleados afectados
              \u2022 I% = Factor de productividad (porcentaje afectado por el incidente)
              \u2022 S = Salario medio por hora<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              Ejemplo:<\/strong> en un equipo con 500 empleados profesionales que operan en un modelo totalmente en la nube, el c\u00e1lculo ser\u00eda el siguiente: 87,97 $ (salario medio por hora) \u00d7 90 % (nivel estimado de impacto en la productividad) \u00d7 500 (n\u00famero de empleados afectados) = 39 586,50 $ por hora.<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Este es el coste interno directo para la empresa, solo en salarios. Pero, \u00bfqu\u00e9 hay de los costes de cumplimiento y de oportunidad?<\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.2 El m\u00e9todo del coste total<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              Si queremos m\u00e1s detalles para describir la magnitud del problema a los responsables de la toma de decisiones de la organizaci\u00f3n, debemos dar algunos pasos m\u00e1s. Un m\u00e9todo integral consiste en sumar los costes internos directos (el dinero que la organizaci\u00f3n perder\u00e1 realmente) a los costes de ingresos (los ingresos perdidos que no se pueden cobrar a los clientes durante el tiempo de inactividad).<\/p>\n

              <\/p>\n

              <\/p>\n

              F\u00f3rmula del coste de productividad<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Coste de productividad = E \u00d7 I% \u00d7 C \u00d7 H<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Donde:<\/p>\n

              \u2022 E = N\u00famero de empleados afectados
              \u2022 I% = Porcentaje en que se ven afectados (por ejemplo, \u00bfpueden seguir realizando el
              50 % de su trabajo incluso despu\u00e9s de que se interrumpa el acceso a la aplicaci\u00f3n?
              \u2022 C = Coste medio por hora de un empleado para la empresa (incluido un 30 % de
              gastos generales por formaci\u00f3n, electricidad, alquiler, etc.)
              \u2022 H = N\u00famero de horas de inactividad<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              F\u00f3rmula de p\u00e9rdida de ingresos<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              P\u00e9rdida de ingresos = (GR \/ AH<\/strong>) \u00d7 I% \u00d7<\/strong> H<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Donde:<\/p>\n

              \u2022 GR = Ingresos brutos (anuales)
              \u2022 AH = Cantidad total de horas laborables (anuales). Una estimaci\u00f3n v\u00e1lida: 220 d\u00edas
              \u00d7 8 horas = 1760 horas por empleado
              \u2022 I% = Porcentaje de impacto en la capacidad de generaci\u00f3n de ingresos
              \u2022 H = N\u00famero de horas de inactividad<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.3 Costes de recuperaci\u00f3n y cumplimiento<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              El c\u00e1lculo de los costes de recuperaci\u00f3n y cumplimiento no tiene una f\u00f3rmula objetiva, por lo que aqu\u00ed debemos utilizar estimaciones discrecionales basadas en las circunstancias espec\u00edficas de su organizaci\u00f3n. A la hora de elaborar su estimaci\u00f3n, debe tener en cuenta las siguientes actividades:<\/p>\n

              <\/p>\n

              \u2022 Investigaci\u00f3n del incidente: horas del equipo interno de TI y seguridad, m\u00e1s investigadores forenses externos si es necesario. Los trabajos t\u00edpicos de investigaci\u00f3n forense oscilan entre 25 000 y m\u00e1s de 250 000 d\u00f3lares, dependiendo de la complejidad.
              \u2022 Determinaci\u00f3n del alcance de la violaci\u00f3n de datos: Identificaci\u00f3n de los interesados afectados para su posible divulgaci\u00f3n reglamentaria y notificaci\u00f3n a los clientes. Esto suele requerir herramientas especializadas de miner\u00eda y an\u00e1lisis de datos.
              \u2022 Preparaci\u00f3n de documentos de notificaci\u00f3n y divulgaciones requeridas: honorarios de asesores legales, presentaciones reglamentarias y costos de notificaci\u00f3n a los clientes. Los costos de notificaci\u00f3n por registro suelen oscilar entre 1 y 5 d\u00f3lares por persona afectada, m\u00e1s honorarios legales de entre 200 y 500 d\u00f3lares por hora.
              \u2022 Servicios de supervisi\u00f3n crediticia y protecci\u00f3n de la identidad: a menudo necesarios o esperados en caso de violaciones que afecten a datos personales.
              Costes t\u00edpicos: entre 10 y 30 d\u00f3lares anuales por persona afectada.
              \u2022 Reparaci\u00f3n y refuerzo del sistema: costes de corregir vulnerabilidades, reconstruir sistemas comprometidos e implementar controles de seguridad adicionales para evitar que se repita.
              \u2022 Formaci\u00f3n posterior al incidente: actualizaci\u00f3n de la formaci\u00f3n en materia de seguridad y formaci\u00f3n espec\u00edfica sobre las lecciones aprendidas del incidente.<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.4 An\u00e1lisis de coste-beneficio: seguro y retorno\u00a0<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              Los siguientes ejemplos demuestran c\u00f3mo la inversi\u00f3n en un seguro cibern\u00e9tico y en un anticipo por respuesta a incidentes puede superar con creces los costes potenciales de la materializaci\u00f3n del riesgo cibern\u00e9tico en el tiempo de inactividad de la empresa.<\/p>\n

              <\/p>\n

              <\/p>\n

              Ejemplo 1: Empresa de servicios financieros de tama\u00f1o medio<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Perfil de la organizaci\u00f3n: <\/strong>500 empleados, 150 millones de d\u00f3lares de ingresos anuales, salario medio de 95 000 d\u00f3lares al a\u00f1o (45,67 d\u00f3lares por hora).<\/p>\n

              <\/p>\n

              <\/p>\n

              \n\n\n\n\n\n\n
              Inversi\u00f3n<\/strong><\/td>\nCoste anual<\/strong><\/td>\n<\/tr>\n
              Segura cibern\u00e9tico (cobertura de 5 millones de d\u00f3lares)<\/td>\n75,000$<\/td>\n<\/tr>\n
              Retenciones de relaciones con los inversores (100 horas al a\u00f1o)<\/td>\n35,000$<\/td>\n<\/tr>\n
              Inversi\u00f3n anual total<\/strong><\/td>\n110,000$<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

              <\/p>\n

              <\/p>\n

              Costes potenciales de un incidente de ransomware de 48 horas (sin seguro):<\/strong><\/p>\n

              <\/p>\n

              \u2022 P\u00e9rdida de productividad: 500 \u00d7 80 % \u00d7 45,67 $ \u00d7 48 = 877 000
              \u2022 P\u00e9rdida de ingresos: (150 millones de d\u00f3lares \/ 1760) \u00d7 75 % \u00d7 48 = 3 068 000
              \u2022 Servicios de respuesta a incidentes de emergencia (sin tarifa de retenci\u00f3n): 150 000
              \u2022 Recuperaci\u00f3n y reparaci\u00f3n: 500 000 $
              \u2022 Exposici\u00f3n potencial total: 4 595 000 $<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              Retorno de la inversi\u00f3n: <\/strong>La inversi\u00f3n anual de 110 000 $ representa solo el 2,4 % de la exposici\u00f3n potencial por un solo incidente. Incluso si la organizaci\u00f3n solo sufre un incidente significativo cada 5 a\u00f1os, la inversi\u00f3n genera un rendimiento de 7,4:1.<\/p>\n

              <\/p>\n

              <\/p>\n

              Ejemplo 2: Organizaci\u00f3n sanitaria<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Perfil de la organizaci\u00f3n: <\/strong>2000 empleados, ingresos anuales de 400 millones de d\u00f3lares, coste medio de las infracciones en el sector sanitario: 10,1 millones de d\u00f3lares (seg\u00fan IBM\/Ponemon)<\/p>\n

              <\/p>\n

              <\/p>\n

              Inversi\u00f3n recomendada:<\/strong><\/p>\n

              \u2022 Seguro cibern\u00e9tico (cobertura de 10 millones de d\u00f3lares): 200 000 d\u00f3lares al a\u00f1o
              \u2022 Retenciones de relaciones p\u00fablicas (200 horas al a\u00f1o): 65 000 d\u00f3lares al a\u00f1o
              \u2022 Total: 265 000 d\u00f3lares al a\u00f1o (2,6 % del coste medio de una infracci\u00f3n)<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              Dados los elevados costes de las infracciones en el sector sanitario y la exposici\u00f3n normativa en virtud de la HIPAA, esta inversi\u00f3n proporciona una protecci\u00f3n financiera fundamental mientras la organizaci\u00f3n desarrolla la madurez de su programa de seguridad.<\/p>\n

              <\/p>\n

              <\/p>\n

              Referencias<\/strong><\/h1>\n

              <\/p>\n

              <\/p>\n

                \n
                  <\/p>\n
                1. Bar\u00f3metro de riesgos de Allianz (2012-2024). Encuesta anual sobre riesgos empresariales globales. Allianz Global Corporate &amp; Specialty.
                  2. IBM Security y Ponemon Institute. Informe sobre el coste de las violaciones de datos (2013-2024).
                  3. Cybereason (2022). \u00abRansomware: el verdadero coste para las empresas\u00bb. https:\/\/www.cybereason.com\/ransomware-the-true-cost-to-business-2022<\/a>
                  4. Allianz Global Corporate &amp; Specialty (2015). \u00abGu\u00eda sobre el riesgo cibern\u00e9tico: gesti\u00f3n del impacto de la creciente interconectividad\u00bb.
                  5. Financial Times. \u00abLos gestores de riesgos advierten de que los seguros cibern\u00e9ticos podr\u00edan convertirse en un producto inviable\u00bb.
                  6. Gartner (2014). \u00abEl coste del tiempo de inactividad\u00bb.
                  7. Ponemon Institute (2016). \u00abCoste de las interrupciones del servicio en los centros de datos\u00bb.<\/li>\n<\/ol>\n<\/ol>\n

                  <\/p>\n

                  <\/p>\n<\/div><\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":430,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/posts\/428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/comments?post=428"}],"version-history":[{"count":11,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/posts\/428\/revisions"}],"predecessor-version":[{"id":2356,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/posts\/428\/revisions\/2356"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/media\/430"}],"wp:attachment":[{"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/media?parent=428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/categories?post=428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/apeiroo.com\/es_ES\/wp-json\/wp\/v2\/tags?post=428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}