La cuantificación del riesgo cibernético implica la aplicación de técnicas de cuantificación de riesgos al riesgo de ciberseguridad de una organización. La cuantificación del riesgo cibernético es el proceso de evaluar los riesgos cibernéticos que se han identificado y luego validar, medir y analizar los datos cibernéticos disponibles utilizando técnicas de modelado matemático para representar con precisión el entorno de seguridad cibernética de la organización de una manera que pueda usarse para realizar una inversión informada en infraestructura de seguridad cibernética . y decisiones de transferencia de riesgos. La cuantificación del riesgo cibernético es una actividad de apoyo a la gestión del riesgo de ciberseguridad; La gestión de riesgos de ciberseguridad es un componente de la gestión de riesgos empresariales y es especialmente importante en organizaciones y empresas que dependen en gran medida de susredes y sistemas de tecnología de la información (TI) para sus operaciones comerciales.
Un método para cuantificar el riesgo cibernético es el método de valor en riesgo (VaR) que se analiza en la reunión del Foro Económico Mundial de enero de 2015 . [1] En esta reunión, se estudió e investigó el VaR y se consideró que era un método viable para cuantificar el riesgo cibernético.
Un marco bien conocido para la cuantificación del riesgo cibernético se llama FAIR TM ( Análisis factorial del riesgo de la información ). El Instituto FAIR es una organización profesional sin fines de lucro comprometida con la promoción de la ciencia de la medición y gestión del riesgo cibernético y operativo. [2] [3] [4] [5]
La cuantificación del riesgo cibernético puede ser un proceso automatizado o respaldado por software que permite a los usuarios construir modelos matemáticos para cuantificar los riesgos de seguridad cibernética. La cuantificación del riesgo cibernético ha recibido una mayor atención en 2022 con los analistas de investigación de Forrester comenzando a cubrir el espacio. Su informe reciente, The Emerging Cyber Risk Quantification Market: When CISOs Need Decisions, Not More Dashboards [6] destaca el modelo FAIR, así como los nuevos participantes en el espacio que están adoptando diferentes enfoques. Uno de esos proveedores es Axio Global , que recaudó $23 millones para ayudar a las empresas a cuantificar el riesgo cibernético. [7]
'Confianza cibernética' es / son las pruebas ejecutadas reales que han pasado. Este valor se puede convertir en una probabilidad estadística y calcular el riesgo cibernético asociado: