Por qué la mayoría de los modelos de riesgo de ciberseguridad fallan antes de comenzar

Los líderes de ciberseguridad enfrentan preguntas imposibles. “¿Cuál es la probabilidad de que haya una brecha de seguridad este año?” y ¿cuánto costará? y “¿Cuánto deberíamos gastar para detenerlo?”

Sin embargo, la mayoría de los modelos de riesgo que se utilizan hoy en día todavía se basan en conjeturas, instintos y mapas de riesgo codificados por colores, no en datos.

De hecho, lo encontré Estudio Global Digital Trust Insights 2025 de PwC Sólo el 15% de las organizaciones utilizan el modelado de riesgos cuantitativos en una medida significativa.

Este artículo explora por qué los modelos tradicionales de riesgo de ciberseguridad resultan insuficientes y cómo la aplicación de algunas herramientas estadísticas livianas, como el modelado probabilístico, ofrece un mejor camino a seguir.

Dos escuelas de pensamiento principales en el modelado de riesgos cibernéticos

Los modelos de riesgo cibernético son: Marcos o métodos sistemáticos utilizados para analizar, evaluar y medir las amenazas a la ciberseguridad y su impacto potencial en los sistemas de información, datos o empresas.

Los profesionales de seguridad de la información utilizan principalmente dos métodos diferentes de modelado de riesgos durante el proceso de evaluación de riesgos: cualitativo y cuantitativo. Se considera Modelado cuantitativo de riesgos cibernéticos Una técnica avanzada que requiere experiencia especializada.

Modelos cualitativos para la evaluación de riesgos

Imaginemos dos equipos evaluando el mismo riesgo. Se le da al riesgo una puntuación de 4/5 por probabilidad y 5/5 por impacto. El otro equipo le da 3/5 y 4/5. Ambos equipos lo ubican en una matriz. Pero ninguno de ellos puede responder a la pregunta del director financiero: “¿Cuál es la probabilidad de que esto realmente suceda y cuánto nos costará?”

El enfoque cualitativo se basa en la evaluación subjetiva del riesgo y surge principalmente de la intuición del evaluador. Un enfoque cualitativo generalmente da como resultado calificar la probabilidad y el impacto de los riesgos en una escala ordinal, como del 1 al 5.

A continuación, se ubican los riesgos en la matriz de riesgos para comprender dónde encajan en esta escala ordinal.

Las dos escalas ordinales a menudo se multiplican entre sí para ayudar a priorizar los riesgos más significativos en función de la probabilidad y el impacto. A primera vista, esto parece razonable, ya que la definición comúnmente utilizada de riesgo en seguridad de la información es:

[texto{Riesgo} = texto{Probabilidad} por texto{Impacto}]

Sin embargo, desde un punto de vista estadístico, el modelado de riesgos cualitativo implica algunos riesgos muy significativos.

El primero de estos riesgos es el uso de escalas ordinales. Aunque asignar números a la escala ordinal da la apariencia de respaldo matemático al modelo, esto es meramente una ilusión.

Las escalas ordinales son simplemente etiquetas: no hay una distancia definida entre ellas. La distancia entre un riesgo que tiene un impacto de “2” y un impacto de “3” no es cuantificable. Cambiar las etiquetas en la escala ordinal a “A”, “B”, “C”, “D” y “E” no hace ninguna diferencia.

Esto, a su vez, significa que nuestra formulación del riesgo es errónea cuando utilizamos modelos cualitativos. Es imposible calcular la probabilidad de “B” multiplicada por el efecto de “C”.

Otro gran obstáculo es la incertidumbre en el modelado. Cuando modelamos riesgos cibernéticos, estamos modelando eventos futuros inciertos. De hecho, hay una variedad de resultados que pueden ocurrir.

Destilar el riesgo cibernético en estimaciones de un solo punto (como “20/25” o “Alto”) no captura la distinción importante entre “la pérdida anual más probable es de $1 millón” y “hay un 5% de posibilidades de una pérdida de $10 millones o más”.

 

Modelado cuantitativo de riesgos: análisis avanzado

 

Imagine un equipo realizando una evaluación de riesgos. Estiman un rango de resultados, desde 100 a 10 millones de dólares. Al ejecutar una simulación de Monte Carlo, extraen un 10% de posibilidades de superar el millón de dólares en pérdidas anuales y una pérdida esperada de 480 dólares. Ahora, cuando el director financiero pregunta, “¿Qué probabilidad hay de que esto suceda y cuánto costará?”El equipo puede responder con datos, no sólo con intuición.

Este enfoque cambia la conversación de clasificaciones de riesgo vagas a Posibilidades y potencial impacto financiero, un lenguaje que los ejecutivos entienden.

Si tienes formación en estadística, hay un concepto en particular que debería destacarse aquí:

Probabilidad.

El modelado de riesgos de ciberseguridad es, en esencia, un intento de cuantificar la probabilidad de que ocurran ciertos eventos y el impacto si ocurren. Esto abre la puerta a una variedad de herramientas estadísticas, como la simulación de Monte Carlo, que pueden modelar la incertidumbre mucho más efectivamente que las medidas ordinales.

El modelado cuantitativo de riesgos utiliza modelos estadísticos para asignar valores en dólares a las pérdidas y modelar la probabilidad de que estos eventos de pérdida ocurran, capturando la incertidumbre futura.

Si bien el análisis cualitativo a veces puede aproximarse al resultado más probable, no logra capturar la gama completa de incertidumbre, como los eventos raros pero impactantes, conocidos como “riesgo de cola larga”.

La curva de exceso de pérdidas traza la probabilidad de exceder un monto de pérdida anual determinado en el eje y, y diferentes montos de pérdida en el eje x, lo que da como resultado una línea con pendiente descendente.

Extraer diferentes porcentajes de la curva de exceso de pérdida, como el percentil 90, la mediana y el percentil XNUMX, puede proporcionar una idea de las pérdidas anuales potenciales para un riesgo con un XNUMX % de confianza.

Si bien una estimación puntual única del análisis cualitativo puede aproximar los riesgos más probables (dependiendo de la precisión del juicio de los evaluadores), el análisis cuantitativo captura la incertidumbre en los resultados, incluso aquellos que son raros pero aún posibles (conocidos como “riesgo de cola larga”).

 

Más allá del riesgo cibernético: Mejorar los modelos de riesgo en ciberseguridad

Para mejorar nuestros modelos de riesgo en seguridad de la información, sólo tenemos que mirar hacia afuera, concretamente a las tecnologías que se utilizan en otros campos. Los modelos de riesgo han evolucionado significativamente en una variedad de aplicaciones, como finanzas, seguros, seguridad de la aviación y gestión de la cadena de suministro. Estas áreas proporcionan información valiosa que puede aplicarse a la ciberseguridad.

Los equipos de finanzas utilizan modelos para gestionar el riesgo de la cartera de inversiones utilizando estadísticas bayesianas similares. Mientras que los equipos de seguros modelan los riesgos utilizando modelos actuariales sofisticados. La industria de la aviación modela el riesgo de fallo de los sistemas utilizando modelos de probabilidad. Los equipos de gestión de la cadena de suministro modelan los riesgos utilizando simulación probabilística. Estas metodologías proporcionan una base sólida para desarrollar modelos eficaces de riesgo cibernético.

Las herramientas ya existen. Los fundamentos matemáticos se entienden bien. Otras industrias han allanado el camino. Ahora es el momento de que la ciberseguridad adopte modelos de riesgo cuantitativos para tomar decisiones mejores y más informadas, que conduzcan a mejores estrategias de ciberseguridad y a una reducción de pérdidas potenciales. La adopción de estos modelos cuantitativos representa un paso crucial hacia una gestión más eficaz del riesgo cibernético.

الخلاصة الرئيسية

 

Análisis cualitativo	El hombre de las maravillas
Escalas ordinales (1-5)	Modelado probabilístico
intuición personal	precisión estadística
Puntos de evaluación únicos	Distribuciones de riesgo
Mapas de calor y códigos de color	Curvas de excedencia de pérdidas
Ignora eventos raros pero graves	Captura el riesgo de cola larga