{"id":433,"date":"2026-02-12T17:48:59","date_gmt":"2026-02-12T16:48:59","guid":{"rendered":"https:\/\/ap4592jwt1io3f.apeiroo.com\/?p=433"},"modified":"2026-03-09T08:15:50","modified_gmt":"2026-03-09T07:15:50","slug":"data-driven-cyber-risk-quantification-part-3","status":"publish","type":"post","link":"https:\/\/apeiroo.com\/es_ES\/data-driven-cyber-risk-quantification-part-3\/","title":{"rendered":"Cuantificaci\u00f3n del riesgo cibern\u00e9tico basada en datos. Parte 3."},"content":{"rendered":"
\n
\n
\n

<\/p>\n

Gu\u00eda estrat\u00e9gica para los directores de seguridad de la informaci\u00f3n<\/p>\n

<\/p>\n

<\/p>\n

1<\/strong>. Factores con mayor impacto en la resiliencia cibern\u00e9tica<\/strong><\/h1>\n

<\/p>\n

<\/p>\n

Un dato muy interesante para determinar la prioridad de las iniciativas en un programa de ciberseguridad es examinar qu\u00e9 factores contribuyen m\u00e1s al coste de una brecha cibern\u00e9tica, incluyendo no solo la madurez de las pr\u00e1cticas de una organizaci\u00f3n, sino tambi\u00e9n las tecnolog\u00edas y los factores externos. Al comparar c\u00f3mo la existencia o la ausencia de estos factores se asocia con costes de violaci\u00f3n inferiores a la media (influencia mitigadora de los costes) o superiores a la media (influencia amplificadora de los costes), podemos hacernos una idea de su importancia.<\/p>\n

\"\"<\/figure>\n

 <\/p>\n

<\/p>\n

<\/p>\n

<\/p>\n

<\/p>\n

Figura 5:<\/strong> Factores que influyen en el coste de una violaci\u00f3n de datos. Fuente: IBM y Ponemon Institute, 2024. Las cifras representan el porcentaje medio de reducci\u00f3n o aumento del coste de una violaci\u00f3n de datos cibern\u00e9ticos.<\/p>\n

<\/p>\n

<\/p>\n

Dado que los datos se muestran en porcentajes, podemos hacer algunas deducciones interesantes. Por ejemplo, una organizaci\u00f3n sanitaria con un coste medio por ciberviolaci\u00f3n de 10,1 millones de d\u00f3lares estadounidenses puede estimar una reducci\u00f3n de los costes potenciales de cerca de 600 000 d\u00f3lares si forma a sus empleados en materia de concienciaci\u00f3n sobre ciberseguridad.<\/p>\n

<\/p>\n

<\/p>\n

Aunque las consecuencias de las violaciones de datos son graves, existen formas concretas en que las organizaciones pueden mitigar los costes y mejorar su postura general de seguridad. Los factores clave de reducci\u00f3n de costes identificados en la investigaci\u00f3n incluyen:<\/p>\n

<\/p>\n

<\/p>\n

    \n
      <\/p>\n
    • Enfoque DevSecOps:<\/strong> la integraci\u00f3n de la seguridad en el ciclo de vida del
      desarrollo reduce los costes de las violaciones en aproximadamente un 20 %.<\/li>\n
    • Equipo de respuesta a incidentes y pruebas:<\/strong> las organizaciones con un plan de
      respuesta a incidentes probado registran unos costes por violaciones de seguridad
      un 15 % menores.<\/li>\n
    • IA y automatizaci\u00f3n en materia de seguridad:<\/strong> el uso extensivo de la IA y la
      automatizaci\u00f3n en materia de seguridad se correlaciona con una reducci\u00f3n de
      costes superior al 20 %.<\/li>\n
    • Formaci\u00f3n de los empleados:<\/strong> la formaci\u00f3n peri\u00f3dica en materia de concienciaci\u00f3n
      sobre seguridad reduce los costes de las infracciones en aproximadamente un 5-6
      %.<\/li>\n
    • Seguro cibern\u00e9tico:<\/strong> mantiene estables los costes de las infracciones y proporciona
      previsibilidad financiera.<\/span>
      <\/li>\n<\/ul>\n<\/ul>\n

      A la hora de plantearse el primer conjunto de iniciativas que se van a implementar en una organizaci\u00f3n que comienza su andadura en el \u00e1mbito de la ciberseguridad, un CISO puede empezar por elegir primero un plan de seguro cibern\u00e9tico y un contrato de respuesta a incidentes, avanzando progresivamente hacia los siguientes pasos de la escalera, siguiendo un lenguaje de reducci\u00f3n de riesgos que la junta directiva pueda comprender y apoyar f\u00e1cilmente.<\/p>\n

      1. La metodolog\u00eda FAIR: un est\u00e1ndar para el an\u00e1lisis cuantitativo del riesgo cibern\u00e9tico<\/strong><\/p>\n

      1.1 Introducci\u00f3n a FAIR <\/strong><\/p>\n

      Si bien las f\u00f3rmulas y los puntos de referencia presentados en las secciones anteriores proporcionan a los CISO herramientas poderosas para estimar la exposici\u00f3n al riesgo cibern\u00e9tico, las organizaciones que buscan un enfoque m\u00e1s estructurado y reconocido internacionalmente para la cuantificaci\u00f3n del riesgo cibern\u00e9tico deben considerar la implementaci\u00f3n de la metodolog\u00eda Factor Analysis of Information Risk (FAIR). FAIR es el \u00fanico modelo cuantitativo est\u00e1ndar internacional para la seguridad de la informaci\u00f3n y el riesgo operativo. FAIR proporciona un modelo para comprender, analizar y cuantificar el riesgo cibern\u00e9tico y el riesgo operativo en t\u00e9rminos financieros. A diferencia de los marcos tradicionales de evaluaci\u00f3n de riesgos que se basan en gr\u00e1ficos de colores cualitativos o escalas num\u00e9ricas ponderadas (alto\/medio\/bajo), FAIR proporciona una metodolog\u00eda para desglosar el riesgo en factores medibles distintos y para utilizar estad\u00edsticas y probabilidades para estimar cuantitativamente el riesgo.<\/p>\n

      1.2 La arquitectura del marco FAIR<\/strong><\/p>\n

      La metodolog\u00eda FAIR ha evolucionado m\u00e1s all\u00e1 de su modelo original para abarcar un marco integral para la gesti\u00f3n del riesgo cibern\u00e9tico. Junto con el est\u00e1ndar FAIR original, FAIR-CAM y FAIR-MAM forman el Marco FAIR para la Gesti\u00f3n del Riesgo Cibern\u00e9tico.<\/p>\n

      El modelo FAIR b\u00e1sico <\/strong><\/p>\n

      La metodolog\u00eda FAIR cuantifica el riesgo de ciberseguridad desglos\u00e1ndolo en factores individuales mediante el uso de an\u00e1lisis estad\u00edsticos y probabilidades. Eval\u00faa el riesgo a trav\u00e9s de escenarios cuidadosamente definidos, evaluando la frecuencia probable de los eventos de p\u00e9rdida (frecuencia de eventos de p\u00e9rdida) y el impacto potencial de esas p\u00e9rdidas (magnitud de la p\u00e9rdida). Balbix<\/p>\n

      <\/p>\n

      El modelo descompone el riesgo en dos componentes principales:<\/p>\n

      Frecuencia de eventos de p\u00e9rdida (LEF)<\/strong>, que viene determinada por:\u00a0<\/p>\n

        \n
      • Frecuencia de eventos de amenaza (TEF):<\/strong> la frecuencia con la que es probable que un agente de amenaza espec\u00edfico act\u00fae contra un activo.<\/li>\n
      • Vulnerabilidad (Vuln):<\/strong> la probabilidad de que un evento de amenaza d\u00e9 lugar a un evento de p\u00e9rdida, basada en las capacidades de la amenaza frente a las<\/span>\u00a0defensas del activo.<\/span><\/li>\n<\/ul>\n

        Magnitud de la p\u00e9rdida (LM), que abarca: <\/span><\/strong><\/p>\n

          \n
        • P\u00e9rdida primaria:<\/strong> costes directos derivados de la p\u00e9rdida de productividad, costes de respuesta, costes de sustituci\u00f3n, multas y sentencias, y p\u00e9rdidas de ventaja competitiva.\u00a0 <\/span><\/li>\n
        • P\u00e9rdida secundaria:<\/strong> costes indirectos derivados de las reacciones secundarias de las partes interesadas, incluidos el da\u00f1o a la reputaci\u00f3n, los honorarios legales y las sanciones reglamentarias.<\/span><\/li>\n<\/ul>\n

          Los analistas de FAIR siempre cuantifican el riesgo no como un valor \u00fanico, sino como un rango de resultados probables para tener en cuenta la incertidumbre de cualquier decisi\u00f3n empresarial. Este enfoque probabil\u00edstico, que suele aplicarse mediante simulaciones de Monte Carlo, genera miles de posibles resultados de p\u00e9rdidas financieras para un escenario de riesgo determinado, junto con la probabilidad relativa de que cada uno de ellos se produzca.<\/span><\/p>\n

          <\/span><\/p>\n

          FAIR-CAM: el modelo de an\u00e1lisis de controles<\/span><\/strong><\/p>\n

          FAIR-CAM lleva el an\u00e1lisis de los sistemas de control a un nivel granular. Describe y cuantifica la funci\u00f3n de cada control para la reducci\u00f3n del riesgo, documenta la interdependencia entre los controles y la eficacia de un entorno de controles m\u00faltiples en general.<\/span><\/p>\n

          FAIR-CAM ampl\u00eda el modelo FAIR al clasificar los controles en tres \u00e1mbitos: controles de eventos de p\u00e9rdida (reducen la frecuencia o la magnitud de las p\u00e9rdidas), controles de gesti\u00f3n de la varianza (garantizan la fiabilidad de los controles) y controles de apoyo a la toma de decisiones (alinean las decisiones con los objetivos de la organizaci\u00f3n). Esta perspectiva sist\u00e9mica pone de relieve las interdependencias entre los controles, lo que garantiza una medici\u00f3n m\u00e1s fiable de su eficacia.<\/span><\/p>\n

          <\/span><\/p>\n

          FAIR-MAM: El modelo de evaluaci\u00f3n de la materialidad <\/span><\/strong><\/p>\n

          Adem\u00e1s, FAIR proporciona lo que denominan el \u00abModelo de evaluaci\u00f3n de la materialidad (FAIR-MAM)\u00bb, un mini marco que ofrece un desglose y una descripci\u00f3n m\u00e1s detallados de las categor\u00edas que contribuyen a la magnitud de las p\u00e9rdidas, especialmente \u00fatil para determinar cu\u00e1ndo la exposici\u00f3n a las p\u00e9rdidas cibern\u00e9ticas se convierte en un riesgo material para una organizaci\u00f3n. Esto aborda el reto de cuantificar el impacto financiero de los incidentes cibern\u00e9ticos. Al desglosar las p\u00e9rdidas en diferentes m\u00f3dulos y categor\u00edas, permite a los analistas proporcionar estimaciones m\u00e1s precisas y defendibles. <\/span><\/p>\n

          <\/span><\/strong><\/p>\n

          1.3 Implementaci\u00f3n de FAIR en entornos de TI <\/span><\/strong><\/p>\n

          En los entornos inform\u00e1ticos tradicionales, FAIR proporciona una metodolog\u00eda estructurada para evaluar los riesgos en las aplicaciones empresariales, las bases de datos, las redes y la infraestructura en la nube. El proceso de implementaci\u00f3n en cuatro etapas sigue una progresi\u00f3n l\u00f3gica: <\/span><\/p>\n

          Etapa 1: Identificar y delimitar los escenarios de riesgo<\/strong> Este proceso comienza identificando los activos que podr\u00edan estar en riesgo, como datos confidenciales, infraestructura cr\u00edtica o propiedad intelectual. A continuaci\u00f3n, estos activos se vinculan a posibles amenazas, denominadas \u00abagentes de amenaza\u00bb o \u00abcomunidades de amenaza\u00bb. Los agentes de amenaza pueden ser desde ciberdelincuentes y actores estatales hasta amenazas internas, como empleados descontentos. Balbix<\/span><\/p>\n

          <\/p>\n

          Etapa 2: Evaluar la frecuencia de los eventos de p\u00e9rdida<\/strong> Los analistas estiman la frecuencia con la que podr\u00edan producirse eventos de amenaza y la probabilidad de que estos eventos logren burlar las defensas. Para ello es necesario recopilar datos de inteligencia sobre amenazas, informaci\u00f3n hist\u00f3rica sobre incidentes y resultados de evaluaciones de vulnerabilidad.<\/p>\n

          Etapa 3:<\/strong> Evaluar la magnitud de las p\u00e9rdidas Utilizando la taxonom\u00eda detallada de FAIR- MAM, los analistas cuantifican las p\u00e9rdidas potenciales en todas las categor\u00edas, incluyendo el impacto en la productividad, los costes de respuesta, los gastos de sustituci\u00f3n, las multas reglamentarias, los honorarios legales y el da\u00f1o a la reputaci\u00f3n.<\/p>\n

          Etapa 4: Derivar y articular el riesgo<\/strong> Multiplicar la frecuencia de los eventos de p\u00e9rdida por la magnitud de los mismos para calcular el valor global del riesgo. Las simulaciones de Monte Carlo de TechTarget generan distribuciones de probabilidad que comunican el riesgo como rangos en lugar de valores \u00fanicos, lo que proporciona a los responsables de la toma de decisiones una comprensi\u00f3n realista de los posibles resultados. FAIR respalda la toma de decisiones de seguridad m\u00e1s inteligentes en una amplia gama de escenarios: justificaci\u00f3n presupuestaria (priorizar el gasto por impacto, no por conjeturas), transformaci\u00f3n de la nube (evaluar el riesgo en entornos h\u00edbridos y multinube), riesgo de terceros\/proveedores (modelar las p\u00e9rdidas potenciales de los proveedores de SaaS o de servicios de TI), informes al consejo de administraci\u00f3n (sustituir las actualizaciones vagas por informaci\u00f3n cuantificada y fiable) y preparaci\u00f3n para el cumplimiento normativo (vincular los controles de seguridad a la reducci\u00f3n del riesgo, no solo a casillas de verificaci\u00f3n). Principio<\/p>\n

          <\/p>\n

          1.4 Aplicaci\u00f3n de FAIR en entornos OT e ICS\/SCADA <\/strong><\/p>\n

          La convergencia de la tecnolog\u00eda de la informaci\u00f3n (TI) y la tecnolog\u00eda operativa (TO) ha creado nuevos retos para la cuantificaci\u00f3n de riesgos. Los sistemas de control industrial (ICS) y los sistemas de supervisi\u00f3n, control y adquisici\u00f3n de datos (SCADA) presentan caracter\u00edsticas de riesgo \u00fanicas que FAIR est\u00e1 bien equipado para abordar.<\/p>\n

           <\/p>\n

          Comprensi\u00f3n de los factores de riesgo de OT<\/strong><\/p>\n

          Los entornos OT difieren fundamentalmente de la TI tradicional en varios aspectos que afectan a la evaluaci\u00f3n de riesgos:<\/p>\n

          Hist\u00f3ricamente, los entornos ICS funcionaban en redes aisladas con una conectividad externa limitada, lo que reduc\u00eda la necesidad percibida de medidas de seguridad robustas. Estos sistemas depend\u00edan en gran medida de hardware, software y tecnolog\u00edas de comunicaci\u00f3n espec\u00edficos de los proveedores, lo que los hac\u00eda menos adaptables a las pr\u00e1cticas de seguridad modernas. Como resultado, muchos dispositivos ICS heredados siguen utilizando sistemas operativos obsoletos, as\u00ed como protocolos antiguos que carecen de mecanismos de cifrado o autenticaci\u00f3n.<\/p>\n

           <\/p>\n

          Aplicaci\u00f3n de FAIR a los escenarios de riesgo de OT <\/strong><\/p>\n