La cuantificación del riesgo cibernético implica la aplicación de técnicas de cuantificación del riesgo al riesgo de ciberseguridad de una organización. La cuantificación del riesgo cibernético es el proceso de evaluar los riesgos cibernéticos que se han identificado y luego validar, medir y analizar los datos cibernéticos disponibles utilizando técnicas de modelado matemático para representar con precisión el entorno de ciberseguridad de la organización de una manera que se pueda utilizar para realizar una inversión informada en infraestructura de ciberseguridad. y decisiones de transferencia de riesgos. La cuantificación del riesgo cibernético es una actividad de apoyo a la gestión del riesgo de ciberseguridad; La gestión de riesgos de ciberseguridad es un componente de la gestión de riesgos empresariales y es especialmente importante en organizaciones y empresas que dependen en gran medida de susredes y sistemas de tecnología de la información (TI) para sus operaciones comerciales.
Un método para cuantificar el riesgo cibernético es el método de valor en riesgo (VaR) que se discutió en la reunión del Foro Económico Mundial de enero de 2015 (ver la referencia externa a continuación). En esta reunión, se estudió e investigó el VaR y se consideró un método viable para cuantificar el riesgo cibernético.
Herramientas
La cuantificación de riesgos cibernéticos puede ser un proceso automatizado o respaldado por software que permite a los usuarios construir modelos matemáticos para cuantificar los riesgos de seguridad cibernética; ejemplos son:
- Mecánica estadística y teoría de la probabilidad
Definición matemática
La definición matemática de Cyber-Risk es la siguiente:
- Ciberriesgo = 1 - Ciberconfianza
'Cyber-Confidence' es / son las pruebas ejecutadas que han pasado. Este valor se puede convertir en una probabilidad estadística y se calcula el riesgo cibernético asociado:
- Ejemplo-1: 'Un cierto número' de pruebas se han ejecutado y aprobado. Imaginemos que produce una confianza libre de defectos del 97,43%. Respuesta: Riesgo cibernético = 2,57%.
- Ejemplo 2: Se confirma que todos los 65.536 puertos TCP y 65.536 puertos UDP están inactivos o inactivos en un activo; ¿Qué tan resistente a la penetración es? Respuesta: Ciberconfianza = 99,83%, Ciberriesgo = 0,17%
Por lo general, esta forma de estimación de Cyber-Confidence y / o Cyber-Risk se denomina Testimation porque:
- Se puede aplicar para estimar el número de pruebas necesarias para cualquier nivel deseado de ciberconfianza.
- Se puede aplicar para estimar la confianza cibernética (y el riesgo cibernético) en función del número de pruebas que realmente se han ejecutado y aprobado.