¿EN QUÉ PODEMOS AYUDARTE?

CONTACTO

CONTACTO

Cuantificación del riesgo cibernético basada en datos. Parte 1.

Guía estratégica para los directores de seguridad de la información

Introducción

En el mundo actual, cada vez más interconectado y digitalizado, las organizaciones se enfrentan a una amenaza creciente de ciberataques. Estos ataques pueden provocar importantes pérdidas económicas, daños a la reputación e incluso la interrupción de operaciones comerciales críticas. Para mitigar estos riesgos, es fundamental que las organizaciones cuantifiquen los riesgos cibernéticos a los que están expuestas y desarrollen un programa estratégico cibernético integral.

La cuantificación del riesgo cibernético implica evaluar la probabilidad y el impacto potencial de diversas amenazas y vulnerabilidades cibernéticas específicas de una organización. Al comprender los riesgos potenciales, las organizaciones pueden tomar decisiones informadas sobre la asignación de recursos y la elaboración de presupuestos para sus iniciativas de defensa cibernética.

Para un CISO recién incorporado, esto puede suponer en ocasiones un problema del tipo «el huevo o la gallina». Si siguen el enfoque maduro y metodológico de la gestión y cuantificación del riesgo cibernético, antes de establecer los pasos iniciales para presupuestar un programa estratégico cibernético, deben evaluar primero la postura de seguridad existente de su organización e identificar las vulnerabilidades potenciales. Esta evaluación debe incluir la valoración de la infraestructura de red de la organización, los mecanismos de protección de datos, la concienciación y formación de los empleados, la capacidad de respuesta ante incidentes y el cumplimiento de la normativa pertinente.

Ahora, olvidemos por un momento una situación ideal: el CISO necesita apoyo (dinero, recursos y tiempo) antes de poder siquiera empezar a hacer cualquiera de estas cosas. ¿Cómo puede conseguir el respaldo de la junta directiva?

Una forma de conseguirlo (nunca mejor dicho) es mostrarles los niveles actuales de riesgo de organizaciones similares, ya sea por sector de mercado o por zona geográfica.

Teniendo esto en cuenta, hemos creado esta guía para aquellos CISO que deseen: en primer lugar, presupuestar el gasto necesario en un programa estratégico de ciberseguridad; en segundo lugar, recopilar datos de otras organizaciones similares para comparar los requisitos de la organización en materia de ciberseguridad; y, por último, dar los primeros pasos para abordar los principales riesgos a los que se enfrenta la organización, mientras el programa aún no se ha puesto en marcha.

1. La importancia estratégica del riesgo cibernético

En los últimos 25 años, el mundo ha sido testigo de una notable transformación impulsada por los avances tecnológicos, las tecnologías de la comunicación y el alcance global de la información. Lamentablemente, la llegada de un mundo interconectado a nivel mundial trajo consigo toda una serie de nuevos riesgos a los que deben hacer frente las organizaciones: los ciberriesgos. Con cada nuevo avance tecnológico, el panorama de la ciberseguridad sigue cambiando, y los atacantes encuentran constantemente nuevas formas de burlar los controles de seguridad de las organizaciones y robar datos valiosos. Las empresas deben priorizar cómo defenderse.

Pero, ¿en qué medida deben hacerlo? Para la mayoría de nosotros, incluso el término «cibernético» no significaba nada en el año 2000, y solo evocaba vagas referencias a la película «Hackers», protagonizada por Angelina Jolie a finales de la década de 1990. En la década de 2000, Internet se estaba convirtiendo en una fuerza omnipresente en nuestras vidas, pero los riesgos y vulnerabilidades potenciales no se comprendían del todo. Los ciberdelincuentes comenzaron a explotar estas debilidades, lanzando ataques que robaban información de las organizaciones, interrumpían infraestructuras críticas y socavaban la confianza en los sistemas digitales. Los virus, gusanos y malware proliferaron, causando estragos tanto en individuos como en organizaciones.

Progresivamente, a medida que aumentaba la frecuencia y la gravedad de los ciberataques, también lo hacía la respuesta. Los gobiernos, las empresas y los particulares reconocieron la necesidad de reforzar sus defensas. A lo largo de los años, hemos sido testigos de avances en las prácticas y tecnologías de ciberseguridad. Los gobiernos crearon agencias dedicadas a la ciberseguridad y desarrollaron estrategias integrales para proteger las infraestructuras críticas de sus países. Surgieron colaboraciones internacionales para compartir información sobre amenazas y fomentar la cooperación contra la ciberdelincuencia.

Paralelamente, el sector privado invirtió fuertemente en investigación y desarrollo, lo que dio lugar a soluciones innovadoras de ciberseguridad. Se aprovechó el aprendizaje automático y la inteligencia artificial para detectar y responder a las amenazas en tiempo real. Las tecnologías de cifrado se hicieron más robustas, protegiendo los datos del acceso no autorizado. Las empresas implementaron protocolos de seguridad estrictos y programas de concienciación de los empleados, reconociendo que el error humano puede ser una vulnerabilidad significativa.

Además, la evolución del panorama de amenazas exigía un enfoque más proactivo. En lugar de depender únicamente de medidas reactivas, las organizaciones comenzaron a adoptar estrategias proactivas como la búsqueda de amenazas y las pruebas de penetración. Se impuso el concepto de «defensa en profundidad», que hace hincapié en múltiples capas de protección para mitigar los riesgos de forma integral. Se desarrollaron planes de respuesta y recuperación ante incidentes para minimizar el impacto de los ataques y permitir una rápida recuperación.

1.1 El ciberespacio como fuente de riesgo empresarial

El Barómetro de Riesgos de Allianz es un informe anual publicado por Allianz, la compañía de seguros y gestión de activos. Ofrece información sobre los principales riesgos y preocupaciones a los que se enfrentan las empresas de todo el mundo, basándose en una encuesta realizada entre expertos en riesgos, incluidos gestores de riesgos, suscriptores, corredores y profesionales de seguros, de diversos sectores y regiones. La encuesta tiene como objetivo identificar y clasificar los riesgos más importantes a los que las empresas prevén enfrentarse en el próximo año. Se publica desde hace más de 12 años, y la primera versión se publicó en 2012.

La recopilación y el análisis de estas estadísticas globales durante la última década nos permiten hacer un seguimiento de cómo el ciberespacio se ha convertido en la mayor fuente de riesgo para las organizaciones de todo el mundo. Además, como veremos, también puede relacionarse con las tendencias en el uso de Internet, la penetración de los dispositivos móviles, el gasto en investigación y desarrollo, la prevalencia de enfermedades, las tasas de alfabetización y el acceso a la educación. Estas estadísticas pueden ser el primer paso en nuestro camino como CISO: tomar decisiones basadas en pruebas e identificar áreas en las que las intervenciones específicas pueden impulsar un cambio positivo.

Ahora, examinemos los datos: hasta 2014, la ciberseguridad como fuente de riesgo se consideraba una preocupación menor. De hecho, apareció de forma repentina en la clasificación al ser nombrada «riesgo oculto emergente» en el informe de Allianz, pasando del puesto 15 al 8.

Fuente: Barómetro de Riesgos de Allianz, análisis de A&M Las cifras representan la clasificación de los ciberriesgos como fuente de riesgos seleccionados como porcentaje de los encuestados anuales.

Figura 1: Evolución de la clasificación de los riesgos cibernéticos (2012-2023). Fuente: Barómetro de Riesgos de Allianz. Las cifras representan la clasificación de los riesgos cibernéticos como fuente de riesgo seleccionada como porcentaje de los encuestados anuales.

Desde entonces, los incidentes cibernéticos han aumentado constantemente cada año, hasta convertirse finalmente en la principal causa de riesgo a nivel mundial. No solo eso, en comparación, ni siquiera la COVID-19 en el pico de la pandemia, ni la crisis energética derivada de la guerra entre Ucrania y Rusia han captado tanta atención como fuente de posibles perturbaciones para las operaciones.

Fuente: Barómetro de Riesgos de Allianz, análisis de A&M Las cifras representan la clasificación de los riesgos cibernéticos como fuente de riesgos seleccionados como porcentaje de los encuestados anuales.

También cabe destacar que los ciberataques comparten el primer puesto mundial de estas estadísticas con la interrupción del negocio, que no es mutuamente excluyente: un ciberataque, como un ataque de denegación de servicio, el cifrado con ransomware u otros tipos de extorsión cibernética, puede provocar que una empresa cese sus operaciones.

Los incidentes cibernéticos encabezaron la encuesta del barómetro de riesgos por primera vez en 2020, y de nuevo en 2022 y 2023. El principal factor ha sido el aumento de los ataques de ransomware más grandes y sofisticados. Entre ellos se incluyen tendencias preocupantes como las tácticas de «doble extorsión», que combinan el cifrado de sistemas con la violación de datos, así como varios casos de explotación masiva a escala mundial de vulnerabilidades de software de terceros que podrían afectar a miles de empresas (por ejemplo, Log4J, Kaseya) o dirigirse a infraestructuras físicas críticas (el oleoducto Colonial Pipeline en Estados Unidos).

 

¿Cuál es la conclusión principal que debe guiar nuestra conversación inicial sobre la gestión de estos riesgos? Primero: la ciberseguridad es la preocupación que más rápido está creciendo en todas las empresas a nivel mundial: ha llegado para quedarse y seguirá siendo un tema importante en el futuro previsible.

1.2 Las finanzas del riesgo cibernético

Ahora tenemos un motor estratégico, que posiblemente llame la atención de la junta directiva. Es hora de que el CISO ponga algunas cifras sobre la mesa: desde un punto de vista puramente financiero, ¿cuánto puede afectar a nuestra organización la materialización de un riesgo cibernético?

Intentaremos responder a esta pregunta con más detalle más adelante, pero en aras de la simplicidad, comencemos con una estimación inicial: ¿cuánto costaría un solo incidente o violación cibernética? Y, de nuevo, utilicemos los datos recopilados y publicados para dar una respuesta. Durante la última década, IBM y el Ponemon Institute han colaborado para publicar anualmente un informe sobre incidentes de ciberseguridad denominado «Cost of Data Breach Report» (Informe sobre el coste de las violaciones de datos). Este informe analiza las violaciones de datos reales sufridas por organizaciones de diversos sectores, examinando las causas, los costes y las consecuencias de las violaciones de datos, con el objetivo de proporcionar a las organizaciones una comprensión global de los riesgos potenciales y las implicaciones financieras a las que pueden enfrentarse en caso de violación.

Uno de los aspectos más destacados del informe es el cálculo del coste medio de una violación de datos. Esto incluye los costes directos, como la respuesta al incidente, la notificación y los gastos legales, así como los costes indirectos relacionados con el daño a la reputación, la pérdida de clientes y la pérdida de oportunidades de negocio. El informe también desglosa estos costes por región, sector y tamaño de la organización afectada.

Figura 3. Evolución del coste de una violación de datos - Millones de dólares estadounidenses. Fuente: IBM y Ponemon Institute, análisis de Apeiroo Las cifras representan el coste en millones de dólares estadounidenses de una violación de datos cibernéticos.

Podemos establecer un paralelismo con las estadísticas anteriores: a medida que aumenta el impacto financiero de los riesgos cibernéticos, también lo hace la percepción y la preocupación de las organizaciones por abordarlos.

Esto, en manos de un CISO, nos da un argumento sencillo pero contundente: ¿quién no querría evitar un coste de 4 millones de dólares para su organización?

 

Cuantificación de riesgos cibernéticos basada en datos para CISO Página6 de 2 También podemos analizar más a fondo los datos por zona geográfica: como era de esperar, las organizaciones estadounidenses son las que se enfrentan a los mayores costes cuando sufren violaciones cibernéticas, más del doble de la media mundial de 4,35 millones de dólares en 2022.

Fuente: IBM y Ponemon Institute, análisis de Apeiroo, datos de 2025 Las cifras representan el coste en millones de dólares estadounidenses de una violación de datos cibernéticos

 

A primera vista, es evidente que los costes están aumentando constantemente. Es posible que una pequeña organización no pueda sobrevivir a los costes derivados de una violación de la seguridad cibernética y, de hecho, algunos estudios lo reflejan claramente. Por ejemplo, un estudio de Cybereason reveló que, en 2022, un asombroso 33 % de las empresas afectadas por el ransomware cibernético se vieron obligadas a suspender temporalmente su actividad mientras eran atacadas.

2. Seguros cibernéticos y preparación para la respuesta a incidentes

2.1 La evolución del seguro cibernético

El seguro de responsabilidad cibernética, también conocido como seguro cibernético, es un tipo de seguro que ofrece cobertura por las pérdidas y daños derivados de ciberataques, violaciones de datos y otros tipos de incidentes cibernéticos.

 

En 2015, Allianz publicó el primer informe mundial sobre seguros cibernéticos, en el que se afirmaba: «Se estima que el mercado de los seguros cibernéticos tiene actualmente un valor aproximado de 2000 millones de dólares en primas en todo el mundo, y que las empresas estadounidenses representan aproximadamente el 90 %». Se cree que menos del 10 % de las empresas contratan actualmente un seguro cibernético. Sin embargo, se espera que el mercado de los seguros cibernéticos crezca a un ritmo de dos dígitos interanual y que pueda alcanzar los 20 000 millones de dólares o más en los próximos 10 años».

 

Esa predicción ha resultado ser muy acertada. El mercado mundial de los seguros cibernéticos ha experimentado un crecimiento exponencial, impulsado por la creciente frecuencia y sofisticación de los ciberataques, el endurecimiento de los requisitos normativos en materia de protección de datos y la creciente concienciación de los consejos de administración y los ejecutivos sobre el riesgo cibernético como una amenaza importante para las empresas. En 2023, el mercado había superado efectivamente la barrera de los 20 000 millones de dólares, y las previsiones apuntaban a que podría alcanzar los 40 000-50 000 millones de dólares en 2030.

 

Este crecimiento refleja un cambio fundamental en la forma en que las organizaciones perciben el riesgo cibernético, que ha pasado de ser un problema informático a un riesgo empresarial estratégico que requiere cobertura financiera. La pandemia de COVID-19 aceleró esta tendencia, ya que la rápida transformación digital puso de manifiesto nuevas vulnerabilidades y el teletrabajo amplió drásticamente la superficie de ataque.

2.2 Qué cubre el seguro cibernético

El seguro de responsabilidad cibernética suele cubrir lo siguiente:

  • Violaciones de datos: cobertura de los costes de respuesta y gestión de una violación de datos, incluidos los gastos de            notificación, los servicios de supervisión del crédito, las relaciones públicas y los honorarios legales.
  • Interrupción del negocio: cobertura de las pérdidas resultantes del tiempo de inactividad causado por un incidente cibernético, incluidos los ingresos perdidos y los gastos adicionales.
  • Ataques de ransomware: cobertura de los costes de respuesta a un ataque de ransomware, incluidos el pago de las demandas de rescate (cuando sea legal), la recuperación de datos y las pérdidas por interrupción del negocio. • Extorsión cibernética: cobertura de los costes incurridos en respuesta a amenazas de extorsión cibernética, como demandas de rescate o amenazas de ataques a sitios web.
  • Responsabilidad civil: cobertura de las reclamaciones de terceros derivadas de un incidente cibernético, como demandas de clientes o sanciones reglamentarias.
  • Delitos cibernéticos: cobertura de las pérdidas resultantes de delitos cibernéticos, como el fraude en línea o el robo de fondos electrónicos.

2.3 El panorama cambiante: el seguro no es la panacea

Si bien el seguro cibernético es un elemento fundamental para garantizar que su empresa pueda recuperarse de un ciberataque, las organizaciones se enfrentan hoy en día a un panorama completamente diferente. Como se destaca en un artículo del Financial Times titulado «Los gestores de riesgos advierten que el seguro cibernético podría convertirse en un "producto inviable"», el sector se enfrenta a retos sin precedentes.

Las compañías de seguros han endurecido considerablemente sus requisitos de suscripción. Ahora se exige a las organizaciones que demuestren su capacidad para defenderse de los ataques de ransomware mediante una amplia gama de controles de seguridad. Por ejemplo, las aseguradoras exigen ahora que se implementen medidas específicas de seguridad e , incluida la autenticación multifactorial (MFA) para evitar la propagación de incidentes de ransomware. Otros requisitos previos comunes son las soluciones de detección y respuesta en los puntos finales (EDR), la aplicación periódica de parches, la gestión de accesos privilegiados y los planes de respuesta a incidentes probados.

La conclusión clave para los CISO: los seguros cibernéticos no deben venderse a la junta directiva como una solución «milagrosa» para abordar el riesgo cibernético. En cambio, deben posicionarse como un componente de una estrategia integral de gestión de riesgos, un paso inicial en el camino que proporciona protección financiera mientras la organización desarrolla su madurez en materia de seguridad. El propio proceso de solicitud del seguro puede servir como un ejercicio valioso, ya que obliga a las organizaciones a evaluar su postura de seguridad en comparación con los controles estándar del sector.

Contratos de respuesta a incidentes: una inversión fundamental:

  • Un contrato de respuesta a incidentes proporciona a las organizaciones una forma estructurada de experiencia y apoyo a través de un socio de seguridad, lo que les permite responder de forma rápida y eficaz en caso de un incidente cibernético. Contar con un contrato de respuesta a incidentes le permite beneficiarse de un apoyo proactivo para proteger sus operaciones, su reputación y sus resultados.
  • Muchas leyes de privacidad y protección del consumidor, como el RGPD (requisito de notificación en 72 horas) y varias leyes estatales de notificación de infracciones de EE. UU., exigen una respuesta y notificación oportunas de los incidentes cibernéticos. Contar con un contrato reduce las dificultades para encontrar apoyo especializado en caso de un incidente grave que afecte a muchas organizaciones simultáneamente, cuando la demanda de servicios de respuesta a incidentes alcanza su punto álgido y la disponibilidad es escasa.
  • Entre las principales ventajas se incluyen: tiempos de respuesta garantizados (normalmente de 2 a 4 horas), tarifas negociadas previamente, protocolos de comunicación establecidos, familiaridad con su entorno (mediante evaluaciones periódicas) y acceso a conocimientos especializados, como análisis forense, asesoramiento jurídico y comunicaciones de crisis.

Para cuantificar eficazmente el riesgo cibernético, las organizaciones suelen emplear metodologías y marcos como modelos de evaluación de riesgos, análisis de inteligencia sobre amenazas, análisis de vulnerabilidades y pruebas de penetración. Estos métodos ayudan a identificar y priorizar los riesgos más significativos y orientan el desarrollo de una estrategia sólida de defensa cibernética.

Al cuantificar el riesgo cibernético, las organizaciones pueden comprender mejor las posibles consecuencias de las amenazas cibernéticas y tomar decisiones informadas sobre la asignación de recursos. Esta comprensión les permite priorizar las inversiones en medidas de ciberseguridad y establecer un presupuesto bien definido para su programa estratégico cibernético. Además, la cuantificación del riesgo cibernético ayuda a las organizaciones a demostrar el valor de sus iniciativas de ciberseguridad a las partes interesadas, justificar las solicitudes de financiación y alinear los esfuerzos de seguridad con los objetivos empresariales.

El camino a seguir para todo CISO comienza con los datos. Con los marcos, fórmulas y puntos de referencia que se presentan en esta guía, estará preparado para transformar la ciberseguridad de un centro de costes en un facilitador estratégico, que proteja a la organización y, al mismo tiempo, demuestre un claro valor empresarial a su junta directiva y a las partes interesadas.

Referencias

    1. Barómetro de riesgos de Allianz (2012-2024). Encuesta anual sobre riesgos empresariales globales. Allianz Global Corporate & Specialty.
    2. IBM Security y Ponemon Institute. Informe sobre el coste de las violaciones de datos (2013-2024).
    3. Cybereason (2022). «Ransomware: el verdadero coste para las empresas». https://www.cybereason.com/ransomware-the-true-cost-to-business-2022
    4. Allianz Global Corporate & Specialty (2015). «Guía sobre el riesgo cibernético: gestión del impacto de la creciente interconectividad».
    5. Financial Times. «Los gestores de riesgos advierten de que los seguros cibernéticos podrían convertirse en un producto inviable».
    6. Gartner (2014). «El coste del tiempo de inactividad». 7. Ponemon Institute (2016). «Coste de las interrupciones del servicio en los centros de datos».