Cuatro pasos para aprovechar el valor de la cuantificación del riesgo cibernético

¿Tu cuantificación de riesgos cibernéticos (CRQ, por sus siglas en inglés) es adecuada para tu propósito empresarial? 

Según el informe Global Digital Trust Insights 2025 de PwC, solo el 15 % de las organizaciones miden el riesgo cibernético de forma significativa.  Entonces, ¿cómo puedes configurar tu cuantificación de riesgos cibernéticos para obtener la información crítica que tu empresa necesita? A continuación, te presentamos cuatro pasos que te ofrecen una solución práctica y estratégicamente alineada.

La Junta Directiva necesita información creíble, inteligible y práctica sobre informes de riesgos cibernéticos para evaluar las amenazas a las que se enfrenta la empresa y determinar la mejor manera de responder. Si tus actividades de CRQ e informes no dan resultados, podría terminar dirigiendo la inversión a los objetivos equivocados, dejando a la empresa expuesta innecesariamente.

Disipando mitos

La eficacia del CRQ suele verse comprometida por los mitos y malentendidos que lo rodean. El principal error es creer que este puede implementarse de manera inmediata y sin complicaciones. En realidad, no es una solución simple ni rápida. A menudo, se convierte en un ejercicio aislado que se enfoca en generar números en lugar de ofrecer información útil. 

Cuando el CRQ se usa solo para cumplir requisitos, se corre el riesgo de proporcionar datos cuantitativos sin mejorar la toma de decisiones, la comunicación a nivel ejecutivo ni la colaboración con los reguladores. Para ser verdaderamente efectivo, debe trascender las cifras, ayudando a las empresas a equilibrar la seguridad, el cumplimiento normativo y la innovación, mientras asegura que sus resultados aporten un valor real.

Los riesgos cibernéticos son inherentemente complejos y están en constante evolución; eso no cambiará. Pero la CRQ no debería existir aislada, desconectada de quienes dependen de ella. Para que esta sea eficaz, debe proporcionar información práctica que guíe las decisiones estratégicas, mejore la gobernanza a nivel directivo y fortalezca la interacción con los organismos reguladores. Esto implica traducir datos técnicos complejos en narrativas significativas que conecten con las partes interesadas. No se trata solo de generar cifras, sino de ofrecer claridad, permitir mejores decisiones y garantizar que la cuantificación del riesgo genere valor comercial real. 

Es fundamental que tu CRQ se alinee con los objetivos de negocio, de modo que sea pertinente y significativo dentro de tu organización. Además, sus capacidades deben apoyarse en prácticas de datos confiables.  Por lo tanto, estas son las prioridades esenciales que guían nuestro enfoque de cuatro pasos.

El punto de partida es establecer objetivos y parámetros claros para el CRQ, definiendo las preguntas que el informe debe responder. Algunas consideraciones probables incluyen: 

• ¿Cuál es el impacto potencial de los riesgos cibernéticos que enfrentamos (pérdidas estratégicas, de reputación y financieras)? 

• ¿Están nuestros riesgos cibernéticos y nuestra capacidad para resistirlos dentro de límites aceptables? 

• ¿Cuál es el retorno de la inversión de nuestras medidas de protección y mitigación de riesgos? 

• ¿Cómo pueden las simulaciones dinámicas de cambios de seguridad mejorar las decisiones al mostrar su impacto en la reducción del riesgo cibernético? 

Este enfoque descendente contribuiría a una mayor claridad estratégica y priorización, garantizando que los datos de CRQ, el modelado y el uso de los resultados del modelo se centren en los riesgos y decisiones críticos que enfrenta la organización. 

Un beneficio clave es evitar lo que a menudo puede ser un enfoque ascendente y poco preciso para CRQ, que parte de los datos y el modelo de cuantificación de riesgos y luego intenta responder a las preguntas con lo modelado.

Un CRQ eficaz se basa en datos fiables, completos y procesables. Sin embargo, la calidad y la consistencia suelen verse obstaculizadas por bases de datos aisladas y repositorios mal organizados.

La prioridad principal es desarrollar una taxonomía de riesgos robusta que establezca relaciones claras entre riesgos, amenazas y controles de manera escalable y manejable. Existen varios estándares de buenas prácticas en el sector que cubren diferentes aspectos de una taxonomía de riesgos integral, como el Marco de Ciberseguridad del NIST, el Marco MITRE ATT&CK y la metodología de cuantificación de riesgos FAIR. No obstante, hay una falta de información pública sobre cómo estos marcos se complementan entre sí y cómo se alinean con la taxonomía de riesgos específica de cada organización. Estas interrelaciones son fundamentales para un modelado integral de riesgos.

La automatización y optimización de datos a menudo requiere la participación de diversos equipos internos, complementada con la experiencia de terceros cuando las habilidades necesarias no están disponibles internamente. Es fundamental que estas relaciones se mantengan dinámicas y se adapten a las amenazas emergentes. Solo así se podrá aprovechar al máximo el valor de un modelo de riesgo basado en datos. 

La calidad de esta taxonomía es vital para todo el proceso de medición y generación de informes de riesgos. Respalda la precisión y la utilidad del CRQ, garantizando que los responsables de la toma de decisiones cuenten con la información necesaria para responder eficazmente a la evolución de los riesgos cibernéticos. Es importante actualizar periódicamente este modelo de datos para reflejar los cambios en las amenazas y los contextos empresariales, un proceso que puede ayudar a evitar lo que se conoce como "inercia algorítmica". Una combinación de procesos automatizados y la verificación experta puede ayudar a garantizar que los datos y los modelos mantengan su relevancia y fiabilidad a lo largo del tiempo. 

Una vez establecida la taxonomía, la automatización y optimización de la recopilación de datos ayudará a abordar los desafíos de calidad de los datos. El uso de herramientas de gestión de la postura de seguridad permite un monitoreo continuo del cambiante panorama de amenazas, lo que permite a las organizaciones anticiparse a los riesgos potenciales. 

La IA generativa desempeña un papel fundamental en este contexto. Su capacidad para resumir e interrogar datos puede enriquecer la comprensión humana. Por ejemplo, esta tecnología puede seleccionar y resumir grandes cantidades de información sobre amenazas relevante para su organización o responder preguntas sobre su postura de riesgo, sin necesidad de interpretar los datos en los informes.

La combinación de la narrativa de los conocimientos cualitativos con la precisión del análisis cuantitativo puede fortalecer la base para la toma de decisiones al hacer que el análisis sea más inteligible, estratégicamente relacionable y orientado a la acción. 

Para integrar una gestión de riesgos dinámica y confiable, las organizaciones combinan cada vez más la automatización con el conocimiento humano e impulsan cambios de comportamiento.

Al integrar el análisis cualitativo y cuantitativo, aprovechar la automatización y la experiencia humana y fomentar una cultura colaborativa, las organizaciones pueden lograr un enfoque más holístico y práctico para la gestión del riesgo cibernético.

Una comunicación clara, práctica y convincente es la prueba definitiva del valor de los informes de riesgos cibernéticos, ya que responde a preguntas estratégicas sobre ciberseguridad de forma que ayude a la Junta Directiva a comprender las implicaciones y evaluar su respuesta. Como parte de este proceso, el modelado hipotético debería ayudar a crear y presentar opciones para diferentes acciones. Este enfoque permite a la Junta Directiva evaluar escenarios, comparar posibles resultados y tomar decisiones óptimas basadas en las ventajas de cada opción. 

Las prioridades incluyen transmitir los mensajes clave en un lenguaje comercial que la audiencia entienda y establecer una conexión clara entre el riesgo cibernético y los objetivos estratégicos.

Las herramientas de visualización pueden ayudar a mejorar la interacción y el conocimiento al convertir datos complejos en paneles interactivos que se adaptan a diferentes públicos. Para los miembros de la Junta Directiva, los datos y los mensajes deben centrarse en el impacto en el negocio y en si las amenazas, vulnerabilidades y medidas de protección se ajustan a su tolerancia al riesgo. Para los equipos operativos, los informes pueden profundizar en los detalles técnicos y las acciones recomendadas. 

Al traducir datos complejos en información procesable basada en opciones mediante enfoques como el modelado de hipótesis y la comunicación específica para la audiencia, las organizaciones pueden cerrar la brecha entre el análisis técnico y la toma de decisiones estratégicas. 

Conclusión

CRQ ya no es opcional: es un imperativo estratégico en una era donde las ciberamenazas son más importantes que nunca. Sin embargo, para alcanzar su máximo potencial es necesario superar las ideas erróneas y la implementación superficial, y adoptar un enfoque estratégico a medida. 

Estos cuatro pasos de PwC proporcionan una hoja de ruta para que las empresas alineen sus capacidades de CRQ con sus objetivos estratégicos. Al definir preguntas estratégicas críticas, automatizar y optimizar datos, integrar análisis cualitativos y cuantitativos, y traducir información compleja en comunicaciones prácticas, las organizaciones pueden convertir el CRQ en una herramienta poderosa para una toma de decisiones más inteligente. 

Las consideraciones clave inmediatas para un CRQ impactante incluyen:

Un CRQ eficaz fomenta una mejor comprensión, la colaboración y la toma de decisiones informada en toda la organización. Posiciona a los CISO y a sus equipos como facilitadores, en lugar de impedimentos, de la transformación digital y la innovación. Las ganancias de valor resultantes incluyen un mayor retorno de la inversión en ciberseguridad, mayor resiliencia y mayor confianza entre clientes y organismos reguladores.

El camino hacia una CRQ eficaz no es inmediato ni fácil, pero es esencial. Con la estrategia y el compromiso adecuados, las organizaciones pueden aprovechar al máximo su valor y construir un futuro digital más seguro y resiliente.

Este artículo está basado en el artículo “Four steps to unlocking the full value of cyber risk quantification” de PwC Global. Esta versión es organizada y revisada por PwC Colombia.