El 70% de las organizaciones experimentaron al menos dos eventos de riesgo críticos en el último año. Más del 40% experimentaron al menos tres, y casi el 20% sufrieron seis o más incidentes, según un informe de 2023 de Forrester y Dataminr.

Gestionar el riesgo de ciberseguridad no se trata solo de desplegar cortafuegos o prácticas de contraseñas fuertes. Se trata de adoptar un enfoque integral y proactivo para proteger tus activos de información contra las amenazas específicas de tu organización. Así como los meteorólogos se enfrentan a factores inciertos como los patrones de viento, las fluctuaciones de temperatura y las condiciones atmosféricas, los gestores de riesgos enfrentan sus propios desafíos al intentar determinar el valor numérico del riesgo.

Una puntuación de riesgo cuantifica el nivel de riesgo asociado con una decisión, actividad o amenaza específica, para que las organizaciones puedan priorizar y mitigar eficazmente los riesgos. En este artículo, profundizaremos en los componentes de una puntuación de riesgo y revisaremos algunas metodologías populares para calcular el riesgo de ciberseguridad.

Entendiendo las puntuaciones de riesgo.

Una puntuación de riesgo es un valor numérico que representa la posible gravedad y probabilidad de que ocurra un evento negativo. Esta puntuación ayuda a las organizaciones a priorizar los riesgos, permitiéndoles asignar recursos e implementar controles efectivos para protegerse contra riesgos críticos.

Esencialmente, una puntuación de riesgo traduce las complejas dimensiones del riesgo en un número sencillo que es fácil de interpretar. Para entender y calcular una puntuación de riesgo, debes considerar dos componentes fundamentales: la probabilidad del riesgo y el impacto del riesgo.

• Probabilidad del riesgo: Este componente evalúa la probabilidad del riesgo. La probabilidad puede medirse usando valores numéricos como del 1 al 5, porcentajes o descriptores cualitativos (por ejemplo, raro, probable, casi seguro). Para determinar la probabilidad del riesgo, considera los datos históricos, consulta a expertos internos, examina las tendencias de la industria y evalúa la fortaleza de tus controles existentes.
• Impacto del riesgo: Este componente considera las consecuencias del evento de riesgo si se materializa. Para evaluar el impacto, considera la posible pérdida financiera, el daño reputacional y las implicaciones legales y de cumplimiento. Al igual que la probabilidad, el impacto puede cuantificarse usando valores numéricos o descriptores cualitativos, que van desde mínimo hasta catastrófico.

Cálculo de la puntuación de riesgo: La fórmula básica

Una fórmula simple para calcular una puntuación de riesgo es una combinación de la probabilidad y el impacto del riesgo:

Este cálculo básico permite a las organizaciones obtener una visión rápida a través de diferentes riesgos para facilitar la comparación y priorización. Una puntuación de riesgo más alta, por supuesto, indica un mayor nivel de riesgo, con esfuerzos de mitigación más urgentes.

Por ejemplo, considera un escenario en el que la probabilidad de una brecha de datos se califica como 4 en una escala del 1 al 5 y el impacto potencial se evalúa como 5. Usando la fórmula, la puntuación de riesgo para una brecha de datos sería:

Puntuación de Riesgo = 4 (Probabilidad) × 5 (Impacto) = 20

Mientras tanto, la probabilidad de una falla del servidor se califica como 2 de 5 y el impacto como 4 de 5. La puntuación de riesgo para esta posibilidad sería:

Puntuación de Riesgo = 2 (Probabilidad) × 4 (Impacto) = 8

Estas puntuaciones ayudan a las organizaciones a comparar fácilmente los riesgos y determinar cómo asignar los recursos para estrategias óptimas de respuesta al riesgo.

¿Qué es un análisis de riesgo cuantitativo?

Existen dos formas fundamentales de evaluar el riesgo. Un enfoque cualitativo, como una matriz de evaluación de riesgos, se basa en la experiencia y el conocimiento para asignar una calificación de riesgo como "muy probable" o "crítico". Un enfoque cuantitativo utiliza cálculos matemáticos y datos medibles para asignar puntuaciones numéricas de riesgo como "37% de probabilidad" y "$20k de pérdida anual".

Aunque el nivel de precisión que ofrece el análisis de riesgo cuantitativo proporciona a las organizaciones una idea más clara y específica de su exposición al riesgo, también es más difícil y costoso de completar.

Análisis de riesgo cuantitativo vs análisis de riesgo cualitativo

Basándose en factores como los objetivos estratégicos y los recursos disponibles, las organizaciones pueden inclinarse hacia un tipo de evaluación de riesgos sobre el otro.

Cuándo utilizar evaluaciones de riesgo cualitativas:

• Recursos limitados: El análisis cuantitativo puede ser costoso en términos de recursos, requiriendo acceso a datos confiables, herramientas analíticas y conocimientos internos. Las organizaciones más pequeñas o aquellas con recursos limitados pueden optar inicialmente por evaluaciones cualitativas.
• Paisaje de ciberseguridad incierto: En entornos altamente complejos o para tipos específicos de riesgos, es posible que los datos cuantitativos sean escasos. Las evaluaciones cualitativas pueden ofrecer valiosas ideas cuando la información necesaria para cuantificar los riesgos no está disponible.

Cuándo utilizar evaluaciones de riesgo cuantitativas:

• Necesidad de precisión: Las evaluaciones cuantitativas son particularmente útiles cuando se necesita tomar decisiones financieras exactas, como justificar inversiones en ciberseguridad o determinar la cobertura del seguro. Proporcionan un análisis de costo-beneficio más claro para sopesar diferentes estrategias de mitigación del riesgo.
• Requisitos regulatorios y de cumplimiento: Ciertas industrias y marcos regulatorios pueden involucrar evaluaciones de riesgo cuantitativas para cumplir con los estándares de cumplimiento y los requisitos de informe. Por ejemplo, el cumplimiento de SOX implica evaluaciones de riesgo cuantitativas para los controles financieros. Aunque NIST 800-53 no lo requiere específicamente, el marco fomenta métodos cuantitativos como una forma de informar y mejorar las decisiones de gestión de riesgos.
• Mayor madurez en GRC: Las organizaciones con prácticas de GRC (Gobierno, Riesgo y Cumplimiento) y gestión de riesgos más maduras suelen evolucionar hacia métodos cuantitativos a medida que acumulan datos históricos y desarrollan una comprensión más profunda de su entorno de riesgo.

7 enfoques populares para calcular el riesgo de ciberseguridad

Existen múltiples enfoques y metodologías para cuantificar y gestionar riesgos. A continuación, explicaremos 7 enfoques y fórmulas comunes utilizadas para calcular el riesgo de ciberseguridad y compartiremos un ejemplo para cada uno.

1. Pérdida Anual Esperada (ALE)

ALE cuantifica la posible pérdida financiera que una organización puede esperar en un año como resultado de incidentes o amenazas de seguridad específicos. Esta fórmula es particularmente valiosa para las organizaciones que buscan priorizar sus inversiones y estrategias de ciberseguridad al identificar qué amenazas representan el mayor riesgo financiero.

• SLE (Pérdida Esperada Única): La pérdida monetaria estimada o el impacto de una sola ocurrencia de una amenaza.
• ARO (Tasa Anual de Ocurrencia): La frecuencia esperada de que ocurra una amenaza en un año.

Al calcular el ALE para varias amenazas de ciberseguridad, las organizaciones pueden tomar decisiones informadas sobre la asignación de recursos a las amenazas con el ALE más alto, ofreciendo una justificación más clara para los presupuestos e inversiones en ciberseguridad. Al demostrar el impacto financiero potencial de los riesgos no mitigados, los líderes de seguridad pueden presentar un argumento convincente para el presupuesto necesario para implementar medidas de seguridad efectivas.

Al comparar el costo de implementar un control de seguridad con la reducción en ALE que proporciona, los líderes de gestión de riesgos también pueden tomar decisiones informadas sobre qué controles ofrecen el mejor retorno de inversión. Para cualquier riesgo que no se pueda mitigar completamente a través de controles, el ALE puede ser una métrica valiosa para determinar el nivel apropiado de cobertura de ciberseguro, asegurando que la organización esté adecuadamente protegida contra posibles pérdidas financieras.

Ejemplo: Cómo usar el ALE para calcular el riesgo

1. Identificar el riesgo: Comience identificando un riesgo específico que enfrenta su organización. Esto podría ser cualquier cosa, desde un ataque de ingeniería social hasta una falla de hardware.
2. Calcular el SLE:
3. Evaluar el valor del activo: Esto podría ser el valor de los datos, hardware o cualquier otro recurso.
4. Determinar el Factor de Exposición (EF): Estime el porcentaje de pérdida que causaría el riesgo identificado si ocurre. Por ejemplo, si un evento de riesgo resultaría en la pérdida del 50% del valor de un activo, el EF es 0.5.
5. Calcular el SLE: SLE = Valor del Activo × EF
6. Estimar el ARO: Estime cuántas veces es probable que ocurra el riesgo identificado en un año basado en datos históricos, puntos de referencia de la industria o juicio experto.
7. Calcular el ALE: Multiplique el SLE por el ARO para obtener el ALE.

Por ejemplo, suponga que una organización evalúa el riesgo de una violación de datos y determina que el SLE es de $400,000, teniendo en cuenta la respuesta a incidentes, posibles multas, costos de notificación de la violación y daño reputacional. Basado en el panorama de amenazas de la organización y datos históricos, se estima que el ARO es 0.2 (indicando una ocurrencia cada cinco años).

ALE = $400,000 × 0.2 = $80,000

Esto significa que la organización puede esperar perder un promedio de $80,000 anuales debido a violaciones de datos.

2. Análisis de Factores de Riesgo de Información (FAIR)

FAIR es un marco para cuantificar el riesgo de información en términos financieros, desglosando el riesgo en factores como la frecuencia de eventos de amenaza, la vulnerabilidad y la magnitud de la pérdida.

FAIR divide el riesgo en dos categorías principales, cada una con varios subcomponentes:

• Frecuencia del Evento de Pérdida (LEF): La frecuencia con la que se espera que ocurra un evento de pérdida específico, teniendo en cuenta:
• Frecuencia del Evento de Amenaza (TEF): La frecuencia con la que es probable que ocurra un evento de amenaza
• Vulnerabilidad: La probabilidad de que un evento de amenaza se convierta en un evento de pérdida
• Magnitud de Pérdida Probable (PLM): El rango de pérdidas potenciales para cada evento, teniendo en cuenta:
• Pérdida Primaria: Pérdidas financieras directas de un evento.
• Pérdida Secundaria: Pérdidas indirectas, incluidos daños reputacionales, costos de respuesta, etc.

Ejemplo: Cómo usar FAIR para calcular el riesgo

Aunque FAIR no ofrece fórmulas específicas para cada paso, las organizaciones suelen utilizar simulaciones de Monte Carlo u otros modelos estadísticos para calcular LEF y PLM.

1. Delimitar el escenario de riesgo: Defina claramente el escenario de riesgo que desea analizar, incluidos los activos involucrados, las amenazas potenciales y el contexto.
2. Identificar factores relevantes: Desglose el escenario en sus componentes FAIR. Identifique las amenazas relevantes, las vulnerabilidades de los activos involucrados y los impactos potenciales (tanto primarios como secundarios).
3. Recopilar datos: Reúna datos históricos de incidentes, referencias industriales, opiniones de expertos y cualquier otra información relevante para el escenario de riesgo.
4. Analizar los datos: Para LEF, combine sus datos sobre la Frecuencia del Evento de Amenaza y la Vulnerabilidad para estimar cuántas veces es probable que ocurra un evento de pérdida. Para PLM, estime el rango de pérdidas potenciales, considerando tanto los impactos primarios como secundarios.
5. Cuantificar el riesgo: Utilice los datos y análisis recopilados para estimar el riesgo en términos financieros. FAIR típicamente expresa el riesgo como un rango para tener en cuenta la incertidumbre inherente del análisis de riesgo. Esto implica calcular el rango probable de Frecuencias de Eventos de Pérdida y las Magnitudes de Pérdida Probables para derivar una cifra de riesgo total.

Supongamos que una organización está preocupada por el riesgo de ataques de phishing. El escenario de riesgo específico que definen es una violación de datos causada por un empleado que comparte inadvertidamente información sensible debido a un ataque de phishing.

1. Estimar TEF: La organización analiza incidentes pasados ​​y referencias de la industria para determinar que los empleados reciben un promedio de 5 intentos de phishing sofisticados cada año.
2. Evaluar vulnerabilidad: Basándose en la capacitación de concienciación sobre seguridad y el filtrado de correo electrónico, la organización estima que hay un 10% de probabilidad de que un empleado caiga en un intento de phishing.
3. Calcular LEF: LEF = 5 (TEF) × 0.1 (Vuln) = 0.5 eventos por año. Por lo tanto, en promedio, un ataque de phishing exitoso que lleva a una violación de datos podría ocurrir una vez cada dos años.
4. Estimar la Magnitud de Pérdida Probable (PLM): Basándose en incidentes pasados ​​y referencias de la industria, los costos directos podrían oscilar entre $50,000 y $200,000 por violación y los costos indirectos se estiman entre $100,000 y $500,000. Combinando costos directos e indirectos, la magnitud total de la pérdida podría oscilar entre $150,000 y $700,000 por violación.
5. Agregar estimaciones de riesgo: Dado el LEF de 0.5 y el rango PLM, la organización puede esperar una pérdida anual promedio (ALE) de $75,000-$350,000 debido a violaciones de datos inducidas por phishing.

3. El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS)

El CVSS proporciona un marco para clasificar la gravedad de las vulnerabilidades del software, evaluando cuestiones como la explotabilidad y el impacto para asignar una puntuación del 0 al 10.

Las puntuaciones CVSS se calculan utilizando varias métricas, que se agrupan en tres categorías principales:

1. Métricas base: Estas representan las cualidades intrínsecas de una vulnerabilidad que son consistentes a lo largo del tiempo y en diferentes entornos de usuario. Esto incluye:

• Vector de ataque: Cómo se explota la vulnerabilidad (por ejemplo, acceso local, red adyacente, red).
• Complejidad del ataque: La complejidad del ataque requerido para explotar la vulnerabilidad.
• Privilegios requeridos: El nivel de privilegios de acceso que un atacante debe poseer antes de explotar con éxito la vulnerabilidad.
• Interacción del usuario: Si la explotación de la vulnerabilidad requiere alguna acción por parte de un usuario.
• Alcance: Si la vulnerabilidad afecta componentes más allá de su alcance de seguridad.
• Métricas de impacto: El impacto de la explotación de la vulnerabilidad en la confidencialidad, integridad y disponibilidad de los datos.

2. Métricas temporales: Estas representan aspectos de una vulnerabilidad que pueden cambiar con el tiempo pero no a través de los entornos de usuario. Esto incluye:

• Madurez del código de exploit: La disponibilidad de código de exploit o técnicas.
• Nivel de remediación: El nivel de una solución disponible.
• Confianza en el informe: El grado de confianza en el informe de la vulnerabilidad.

3. Métricas ambientales: Estas métricas tienen en cuenta el impacto específico de la vulnerabilidad en una organización, considerando factores como:

• Requisitos de seguridad: La importancia de la confidencialidad, integridad y disponibilidad para el sistema afectado.
• Métricas base modificadas: Ajustes a las métricas base para tener en cuenta las mitigaciones que reducen la explotabilidad o el impacto dentro del entorno del usuario.

Ejemplo: Cómo usar CVSS para calcular el riesgo

1. Cálculo de la puntuación base: Comienza con las Métricas Base para calcular una Puntuación Base entre 0 y 10.
2. Cálculo de la puntuación temporal: Ajusta la Puntuación Base según las Métricas Temporales, si hay datos relevantes disponibles. Esto puede aumentar o disminuir la puntuación en función de factores como la madurez del código de exploit y el nivel de remediación.
3. Cálculo de la puntuación ambiental: Realiza ajustes adicionales a la puntuación según las Métricas Ambientales para adaptar la puntuación al contexto específico de una organización. Esto tiene en cuenta cuán crítico es el sistema afectado y los controles de seguridad que puedan estar en vigor para mitigar el impacto.

NIST proporciona una calculadora CVSS que automatiza este proceso. Usted ingresa los valores para cada métrica y la calculadora produce las puntuaciones Base, Temporal y Ambiental.

Como ejemplo, supongamos que un equipo de seguridad descubre una vulnerabilidad en una de sus aplicaciones web. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el servidor donde la aplicación está alojada, lo que podría llevar al robo de datos, corrupción de datos o acceso no autorizado a sistemas sensibles.

El equipo evalúa la vulnerabilidad utilizando estas métricas CVSS y determina:

• Vector de ataque: La vulnerabilidad es explotable de forma remota a través de la red.
• Complejidad del ataque: El ataque es de baja complejidad; no se requieren accesos o condiciones específicas.
• Privilegios requeridos: El atacante no necesita privilegios de acceso especiales.
• Interacción del usuario: No se necesita interacción del usuario para la explotación.
• Alcance: La vulnerabilidad no impacta otros recursos más allá del componente vulnerable.
• Impacto: La vulnerabilidad tiene un alto impacto en la confidencialidad, integridad y disponibilidad del sistema.

Basado en estas evaluaciones, la calculadora CVSS asigna las siguientes puntuaciones:

• Puntuación Base: 9.8 (Crítica)
• Puntuación Temporal: 8.8
• Puntuación Ambiental: 7.5

Con una puntuación base Crítica, esta vulnerabilidad de alto riesgo se prioriza para una remediación inmediata, y la empresa asigna recursos para un parche urgente o soluciones alternativas. La puntuación CVSS también se documenta para fines de cumplimiento y se utiliza en informes de riesgos para la administración y otras partes interesadas.

4. Análisis de árbol de ataque

Este método consiste en crear un modelo gráfico de posibles rutas de ataque que podrían usarse para comprometer un sistema. Ayuda a los miembros del equipo de riesgo a visualizar las diferentes formas en las que se podría atacar un sistema a través de un diagrama en forma de árbol, con el objetivo principal o ataque como el tronco y los diferentes métodos para lograr ese objetivo como ramas.

• Nodo raíz: Representa el objetivo principal del ataque o la amenaza principal que se evalúa.
• Nodos intermedios: Representan los subobjetivos o pasos intermedios que un atacante podría tomar para lograr el objetivo principal. Estos pueden ramificarse en pasos más detallados.
• Nodos hoja: Estos son los puntos finales del árbol, representando técnicas de ataque específicas o acciones que se pueden tomar para lograr los subobjetivos anteriores.

Ejemplo: Cómo usar el análisis de árboles de ataque para calcular el riesgo

1. Definir el objetivo principal: Comienza con la amenaza de seguridad principal o el objetivo del atacante potencial como la raíz del árbol.
2. Identificar subobjetivos: Desglosa el objetivo principal en objetivos o pasos intermedios que un atacante necesitaría lograr para alcanzar el objetivo principal. Estos se convierten en las ramas que emergen de la raíz.
3. Detalle los métodos de ataque: Para cada paso intermedio, identifique los métodos de ataque específicos o acciones que un atacante podría usar. Estos se convierten en los nodos hoja del árbol.
4. Asignar valores: Asigna valores a cada nodo hoja para representar el coste, la dificultad o la probabilidad de ese método de ataque.
5. Calcular el riesgo: Agrega los valores de los nodos hoja a través del árbol para determinar el riesgo general asociado con el objetivo principal.
6. Analizar y priorizar: Usa el árbol de ataque completo para identificar qué vectores de ataque son más probables o tendrían el mayor impacto, y prioriza las medidas de seguridad para mitigar esos riesgos.

Si bien los árboles de ataque proporcionan una manera estructurada de visualizar y analizar posibles vectores de ataque, cuantificar el riesgo a través de árboles de ataque puede ser tan sencillo como identificar el camino de menor resistencia (menor coste o mayor probabilidad para el atacante) o tan complejo como aplicar modelos probabilísticos a cada nodo para estimar el riesgo general.

Como ejemplo, considere una organización que evalúa el riesgo de acceso no autorizado a sus sistemas. El objetivo raíz es "Obtener acceso no autorizado a la red interna".

Los nodos de rama podrían incluir "Explotar una vulnerabilidad del software", "Ataque de ingeniería social para obtener credenciales" y "Obtener acceso físico a la red".

Los nodos hoja bajo "Explotar una vulnerabilidad del software" podrían incluir vulnerabilidades específicas en el software que usa la empresa, cada una con un valor numérico que representa la dificultad de explotación.

Al evaluar la probabilidad y el impacto potencial de cada ruta, la organización puede priorizar qué vulnerabilidades corregir primero, ajustar la capacitación en ciberseguridad de los empleados o decidir qué medidas de seguridad física mejorar.

5. Redes Bayesianas

Las redes bayesianas son un modelo gráfico probabilístico que se puede usar para predecir la probabilidad de eventos específicos de ciberseguridad basados en varios factores de riesgo. Las redes bayesianas se basan en:

• Nodos: Estos representan variables como vulnerabilidades del sistema, ocurrencias de amenazas o controles de seguridad.
• Aristas: Las aristas dirigidas (flechas) conectan los nodos para representar las relaciones entre las variables. La dirección de la flecha indica la dirección de la influencia.
• Tablas de probabilidad: Cada nodo está asociado con una tabla de probabilidad que cuantifica la probabilidad de los resultados del nodo.

Ejemplo: Cómo usar redes bayesianas para calcular el riesgo

1. Definir el problema y las variables: Comience por definir claramente el escenario de riesgo que está analizando. Identifique todas las variables relevantes que podrían influir en el resultado, incluidas amenazas, vulnerabilidades, controles, impactos y cualquier otro factor relevante.
2. Estructurar la red bayesiana: Organice las variables como nodos y use flechas para representar las relaciones entre ellas.
3. Asignar probabilidades: Para cada nodo, cree una tabla de probabilidad condicional que cuantifique la probabilidad de cada resultado posible.
4. Realizar inferencias: Una vez que la red esté construida y se asignen probabilidades, utilice una calculadora de inferencias bayesianas para determinar las probabilidades en toda la red basadas en estados conocidos de ciertos nodos (por ejemplo, si existe una vulnerabilidad específica o se ha implementado un control de seguridad).
5. Analizar: Estas probabilidades actualizadas pueden ayudarlo a evaluar la probabilidad de diferentes escenarios de riesgo y evaluar la efectividad de varias estrategias de mitigación. Al observar los efectos de cambiar ciertas variables (por ejemplo, agregar controles de seguridad), puede tomar decisiones informadas sobre cómo gestionar y mitigar efectivamente los riesgos.

Como ejemplo, imagine una empresa evaluando el riesgo de una brecha de datos. La red bayesiana podría incluir nodos para factores como "Integridad del Cortafuegos," "Capacitación en Seguridad para Empleados," "Probabilidad de Ataque de Phishing," "Encriptación de Datos" y "Impacto de la Brecha." Los enlaces representarían la influencia de estos factores entre sí, y las tablas de probabilidad cuantificarían estas relaciones.

Las redes bayesianas también se pueden actualizar con nueva información para mantener el modelo relevante. Si la empresa observa evidencia de un ataque de phishing, pueden actualizar la red para recalcular probabilidades. Esta probabilidad actualizada puede ayudar a la empresa a decidir si sus medidas de seguridad actuales son adecuadas o si son necesarias acciones adicionales, como mejorar la capacitación de los empleados o mejorar los protocolos de encriptación, para mitigar el riesgo.

6. Fórmula de riesgo de ISACA

La Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés) define una fórmula de riesgo como parte de su marco de trabajo Risk IT.

• Frecuencia de amenazas: La frecuencia con la que se espera que ocurra una amenaza específica dentro de un marco de tiempo determinado. Esto podría ser una estimación basada en incidentes pasados, puntos de referencia de la industria o informes de inteligencia de amenazas.
• Vulnerabilidad: La probabilidad de que una vulnerabilidad sea explotada, basada en los controles de seguridad existentes.
• Valor del activo: La importancia o valor de los activos que podrían verse afectados por la amenaza. Esto puede incluir activos tangibles como el hardware e intangibles como datos y reputación. El valor puede evaluarse en términos de costos de reemplazo, impacto en las operaciones o incluso implicaciones legales y regulatorias.

Ejemplo: Cómo usar la fórmula de riesgo de ISACA para calcular el riesgo

1. Identificar activos: Enumere todos los activos que son vitales para las operaciones de su organización.
2. Evaluar el valor de los activos: Defina el valor de cada activo. Esto puede involucrar evaluaciones financieras, impacto de la pérdida en operaciones o reputación, y consecuencias legales o regulatorias.
3. Identificar amenazas: Para cada activo, identifique las posibles amenazas que podrían causar daño o pérdida. Esto podría ir desde ciberataques hasta desastres naturales, dependiendo de la naturaleza del activo.
4. Evaluar la frecuencia de amenazas: Estime con qué frecuencia podría ocurrir cada amenaza identificada. Esto podría basarse en datos históricos, informes de la industria o juicios de expertos.
5. Evaluar vulnerabilidades: Evalúe qué tan vulnerable es cada activo a las amenazas identificadas. Considere las medidas de seguridad existentes y su efectividad para mitigar estas amenazas.
6. Calcular riesgo: Para cada amenaza a cada activo, multiplique la frecuencia de la amenaza por la vulnerabilidad y el valor del activo para obtener el valor del riesgo.

Por ejemplo, supongamos que una organización ha identificado los ataques de phishing como una amenaza significativa para su seguridad de la información. El equipo de análisis de riesgos necesita evaluar el impacto potencial de los ataques de phishing y cuantificar el riesgo para poder priorizar los esfuerzos de mitigación.

• Frecuencia de la amenaza: Basado en informes de la industria y datos históricos, el equipo estima que los empleados enfrentarán un promedio de 50 intentos de phishing por año.
• Vulnerabilidad: Dado los filtros de correo electrónico actuales y la capacitación en seguridad de los empleados, el equipo estima que hay un 5% de probabilidad de que cualquier intento de phishing tenga éxito.
• Valor del activo: Los datos accesibles a través de las cuentas de correo electrónico de los empleados son muy valiosos, contienen información propietaria y datos personales de los clientes. El equipo estima el valor de estos activos en $2,000,000.

Usando la fórmula de ISACA, calculan:

50 (Frecuencia de la amenaza) × 0.05 (Vulnerabilidad) × $2,000,000 (Valor del activo) = $5,000,000 (Riesgo)

Basado en este cálculo de riesgo, la organización decide llevar a cabo capacitación en concienciación sobre seguridad para los empleados cada seis meses en lugar de anualmente para reducir la vulnerabilidad y el impacto potencial.

7. Secureframe Comply AI para Riesgo

En lugar de calcular manualmente el riesgo utilizando estas diversas fórmulas, los equipos de riesgo también pueden aprovechar herramientas para eliminar el trabajo pesado y la posibilidad de error humano. La plataforma de seguridad y cumplimiento de Secureframe automatiza el proceso de evaluación de riesgos y produce una puntuación de riesgo inherente, un tratamiento sugerido y una puntuación de riesgo residual.

Comply AI para riesgo aprovecha la inteligencia artificial para evaluar el riesgo dentro de su entorno específico. Rellene una descripción del riesgo y el responsable, o importe una descripción del riesgo desde la Biblioteca de Riesgos de Secureframe, luego use Comply AI para calcular las puntuaciones de riesgos inherentes, el tratamiento sugerido y las puntuaciones de riesgo residual.

Una vez que haya calculado las puntuaciones de riesgo, puede usar los paneles de control para ver y rastrear el riesgo de su organización. Visualice sus datos de riesgo como mapas de calor, tablas de resumen, gráficos de tendencia y más, para monitorear la salud general de su programa de gestión de riesgos y reportar fácilmente a ejecutivos, auditores y otras partes interesadas.