“¿Cuánto costaría?” Y “¿Cuánto debemos gastar para detenerlo?”
Los modelos de riesgo utilizados hoy en día todavía se basan en conjeturas, instinto y mapa de calor coloridos, no en datos.
De hecho, Encuesta de Insights Global Digital Trust de PWC’s 2025 descubrió que solo el 15% de las organizaciones están utilizando el modelado de riesgos cuantitativos en gran medida.
Este artículo explora por qué los modelos tradicionales de riesgo cibernético se quedan cortos y cómo la aplicación de algunas herramientas estadísticas de luz, como el modelado probabilístico, ofrece un mejor camino a seguir.
Las dos escuelas de modelado de riesgo cibernético
Los profesionales de la seguridad de la información utilizan principalmente dos enfoques diferentes para modelar el riesgo durante el proceso de evaluación de riesgos: cualitativo y cuantitativo.
Modelado de riesgos cualitativos
Imagine que dos equipos evalúan el mismo riesgo. Uno le asigna una puntuación de 4/5 por probabilidad y 5/5 por impacto. El otro, 3/5 y 4/5. Ambos lo trazan en una matriz. Pero tampoco puede responder a la pregunta del CFO: “¿Qué tan probable es que esto suceda realmente y cuánto nos costaría?“
Un enfoque cualitativo asigna valores de riesgo subjetivo y se deriva principalmente de la intuición del asesor. Un enfoque cualitativo generalmente resulta en la clasificación de la probabilidad e impacto del riesgo en una escala ordinal, como 1-5.
Los riesgos se trazan en una matriz de riesgo para comprender dónde caen en esta escala ordinal.
A menudo, las dos escalas ordinales se multiplican juntas para ayudar a priorizar los riesgos más importantes según la probabilidad y el impacto. De un vistazo, esto parece razonable ya que la definición comúnmente utilizada para el riesgo en la seguridad de la información es:
\[\text{Risk} = \text{Likelihood } \times \text{Impact}\]
Desde el punto de vista estadístico, sin embargo, el modelado de riesgos cualitativos tiene algunas trampas bastante importantes.
El primero es el uso de escalas ordinales. Si bien la asignación de números a la escala ordinal da la apariencia de un respaldo matemático al modelado, esta es una mera ilusión.
Las escalas ordinales son simplemente etiquetas: no hay una distancia definida entre ellas. La distancia entre un riesgo con un impacto de “2” y un impacto de “3” no es cuantificable. Cambiar las etiquetas en la escala ordinal a “A”, “B”, “C”, “D” y “E” no hace ninguna diferencia.
Esto a su vez significa que nuestra fórmula para el riesgo es defectuosa al usar modelado cualitativo. Una probabilidad de “B” multiplicada por un impacto de “C” es imposible de calcular.
La otra clave es modelar la incertidumbre. Cuando modelamos los riesgos cibernéticos, modelamos eventos futuros que no son ciertos. De hecho, hay una variedad de resultados que podrían ocurrir.
La destilación de riesgos cibernéticos en estimaciones de un solo punto (como “20/25” o “altos”) no expresa la distinción importante entre “pérdida anual más probable de $ 1 millón” y “hay un 5% de posibilidades de una pérdida de $ 10 millones o más”.
Modelado de riesgos cuantitativos
Imagine un equipo que evalúa un riesgo. Estiman una variedad de resultados, desde $ 100k a $ 10 millones. Con una simulación de Monte Carlo, obtienen un 10% de posibilidades de exceder los $ 1 millón en pérdidas anuales y una pérdida esperada de $ 480k. Ahora cuando el CFO pregunta, “¿Qué tan probable es que esto suceda y qué costaría?”el equipo puede responder con datos, no solo la intuición.
Este enfoque cambia la conversación de las etiquetas de riesgo vago a probabilidades e impacto financiero potencialLos ejecutivos de idiomas entienden.
Si tiene experiencia en estadísticas, un concepto en particular debe destacarse aquí:
Probabilidad.
El modelado de riesgos cibernéticos es, en esencia, un intento de cuantificar la probabilidad de que ocurran ciertos eventos y el impacto si lo hacen. Esto abre la puerta a una variedad de herramientas estadísticas, como Simulación de Monte Carloque puede modelar la incertidumbre de manera mucho más efectiva que las escalas ordinales.
El modelado de riesgos cuantitativos utiliza modelos estadísticos para asignar valores en dólares a la pérdida y modelar la probabilidad de que ocurran estos eventos de pérdida, capturando la incertidumbre futura.
Si bien el análisis cualitativo ocasionalmente podría aproximar el resultado más probable, no puede capturar la gama completa de incertidumbre, como eventos raros pero impactantes, conocidos como “riesgo de cola larga”.
La curva de excedencia de pérdidas traza la probabilidad de exceder un cierto monto de pérdida anual en el eje Y, y las diversas cantidades de pérdidas en el eje X, lo que resulta en una línea inclinada hacia abajo.
Extraer diferentes percentiles de la curva de excedencia de pérdidas, como el quinto percentil, la media y el percentil 95 pueden proporcionar una idea de las posibles pérdidas anuales para un riesgo con una confianza del 90%.
Mientras que la estimación de un solo punto de Análisis cualitativo Puede acercarse al riesgo más probable (dependiendo de la precisión del juicio de los evaluadores), el análisis cuantitativo captura la incertidumbre de los resultados, incluso aquellos que son raros pero posibles (conocidos como “riesgo de cola larga”).
Mirando fuera del riesgo cibernético
Para mejorar nuestros modelos de riesgo en la seguridad de la información, solo necesitamos observar las técnicas utilizadas en otros dominios. El modelado de riesgos se ha madurado en una variedad de aplicaciones, como finanzas, seguros, seguridad aeroespacial y gestión de la cadena de suministro.
Los equipos financieros modelan y administran el riesgo de cartera utilizando estadísticas bayesianas similares. Los equipos de seguros modelan el riesgo con modelos actuariales maduros. La industria aeroespacial modela el riesgo de fallas del sistema utilizando el modelado de probabilidad. Y los equipos de la cadena de suministro modelan el riesgo utilizando simulaciones probabilísticas.
Las herramientas existen. Las matemáticas se entienden bien. Otras industrias han allanado el camino. Ahora es el turno de ciberseguridad para adoptar el modelado de riesgos cuantitativos para impulsar mejores decisiones.
Control de llave
| Cualitativo | Cuantitativo |
| Escalas ordinales (1-5) | Modelado probabilístico |
| Intuición subjetiva | Rigor estadístico |
| Puntajes de un solo punto | Distribuciones de riesgos |
| Mapas de calor y códigos de color | Curvas de excedencia de pérdida |
| Ignora eventos raros pero severos | Captura el riesgo de cola larga |