Riesgo cibernético

Cuantificación del riesgo cibernético implica la aplicación de técnicas de cuantificación de riesgos al riesgo de ciberseguridad de una organización. La cuantificación del riesgo cibernético es el proceso de evaluar los riesgos cibernéticos que se han identificado y luego validar, medir y analizar los datos cibernéticos disponibles utilizando técnicas de modelado matemático para representar con precisión el entorno de seguridad cibernética de la organización de una manera que pueda usarse para realizar una inversión informada en infraestructura de seguridad cibernética. y decisiones de transferencia de riesgos. La cuantificación del riesgo cibernético es una actividad de apoyo a la gestión del riesgo de ciberseguridad; La gestión de riesgos de ciberseguridad es un componente de la gestión de riesgos empresariales y es especialmente importante en organizaciones y empresas que dependen en gran medida de sus redes y sistemas de tecnología de la información (TI) para sus operaciones comerciales.

Un método para cuantificar el riesgo cibernético es el método de valor en riesgo (VaR) que se analiza en la reunión del Foro Económico Mundial de enero de 2015. En esta reunión, se estudió e investigó el VaR y se consideró que es un método viable para cuantificar el riesgo cibernético.

Un marco bien conocido para la cuantificación del riesgo cibernético se llama FAIR (Análisis factorial del riesgo de la información). El Instituto FAIR es una organización profesional sin fines de lucro comprometida con la promoción de la ciencia de la medición y gestión del riesgo cibernético y operativo.

La cuantificación del riesgo cibernético puede ser un proceso automatizado o respaldado por software que permite a los usuarios construir modelos matemáticos para cuantificar los riesgos de seguridad cibernética.

Implementaciones prácticas

La cuantificación del riesgo cibernético se ha utilizado en una variedad de aplicaciones prácticas, que incluyen:

1. seguro cibernético
2. Retorno de la inversión en seguridad cibernética
3. Costos de mitigación de software

Definición matemática

La definición matemática de Ciber-Riesgo es la siguiente:

• Ciber-Riesgo = 1 - Ciber-Confianza

'Confianza cibernética' es / son las pruebas ejecutadas reales que han pasado. Este valor se puede convertir en una probabilidad estadística y calcular el riesgo cibernético asociado:

• Ejemplo-1: 'Un cierto número' de pruebas han sido ejecutadas y aprobadas. Imaginemos que arroja una confianza libre de defectos del 97,43 %. Respuesta: Riesgo Cibernético = 2,57%.
• Ejemplo 2: se confirma que los 65 536 puertos TCP y los 65 536 puertos UDP están muertos o inactivos en un activo; ¿Qué tan resistente a la penetración es? Respuesta: Ciberconfianza = 99,83 %, Ciberriesgo = 0,17 %

Por lo general, esta forma de estimación de Ciberconfianza y/o Ciberriesgo se denomina Testimation porque:

• Se puede aplicar para estimar la cantidad de pruebas requeridas para cualquier nivel deseado de Ciberconfianza.
• Se puede aplicar para estimar la confianza cibernética (y el riesgo cibernético) en función de la cantidad de pruebas que realmente se han ejecutado y aprobado