Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

La evaluación de riesgos es un componente esencial de la gestión de riesgos. Te permite determinar los peligros potenciales que pueden afectar negativamente a proyectos específicos o resultar de ciertas decisiones.

Existen dos tipos de análisis de riesgo: cuantitativo y cualitativo:

• El análisis de riesgo cuantitativo es un enfoque objetivo que utiliza cifras concretas para evaluar la probabilidad y el impacto de los riesgos. El proceso implica calcular métricas, como la expectativa de pérdida anual, para ayudarte a determinar si un determinado esfuerzo de mitigación de riesgos vale la inversión. La evaluación requiere modelos de proyecto bien desarrollados y datos de alta calidad.
• El análisis de riesgos cualitativo es una manera más rápida de evaluar la probabilidad de riesgos potenciales y su impacto para poder priorizarlos para una evaluación más detallada. Mientras que el análisis de riesgos cuantitativo es objetivo, el análisis de riesgos cualitativo es un enfoque subjetivo que clasifica los riesgos en términos más amplios, como una escala de 1–5 o simplemente bajo, medio y

Ambas formas de análisis de riesgo son herramientas valiosas en la gestión de riesgos. En este artículo, nos centraremos en el análisis de riesgo cuantitativo y explicaremos cómo calcular la expectativa de pérdida anual (ALE).

¿Qué es el análisis de riesgo cuantitativo?

El análisis de riesgo cuantitativo utiliza datos relevantes y verificables para predecir la probabilidad de ciertos resultados de riesgo y su costo monetario estimado.

Existen muchos tipos diferentes de riesgos que los profesionales de TI deben considerar, incluyendo los siguientes:

• Errores humanos
• Acciones hostiles, como ciberataques, divulgación no autorizada o mal uso de datos
• Errores de aplicación
• Fallos del sistema o de la red
• Daños físicos por causas como incendios, desastres naturales o vandalismo

¿Qué resultados obtienes del análisis de riesgo cuantitativo?

El análisis de riesgo cuantitativo le ayuda a estimar:

• Posibles resultados de un riesgo dado
• La probabilidad de alcanzar objetivos específicos
• Costos realistas
• Plazos de finalización del proyecto

¿Cuándo es más útil el análisis de riesgo cuantitativo?

La evaluación de riesgos cuantitativa le ayuda a tomar decisiones inteligentes e informadas por datos para su negocio. Debería realizar un análisis de riesgos cuantitativo cuando necesite:

• Decida si invertir en proyectos o herramientas específicas
• Elija contramedidas para mitigar posibles fuentes de pérdida
• Proporcione datos detallados sobre las probabilidades de completar un proyecto dentro del presupuesto y en el plazo previsto
• Cree una reserva de contingencia para su proyecto

¿Qué es la expectativa de pérdida anual?

La expectativa de pérdida anual es un cálculo que le ayuda a determinar la pérdida monetaria esperada para un activo debido a un riesgo particular durante un solo año. Puede calcular la ALE como parte del análisis cuantitativo de costo-beneficio de su negocio para cualquier inversión o idea de proyecto.

Por ejemplo, supongamos que calculas un ALE de $10,000 y determinas que costaría $15,000 al año eliminar el riesgo; basándote en estos números, podrías decidir que el costo no vale la pena frente al riesgo.

Por supuesto, no todas las situaciones son tan simples. Por ejemplo, supongamos que entiendes que una violación de HIPAA podría costarte $100 por violación hasta una multa máxima de $250,000. Eso podría parecer manejable, pero al investigar más a fondo en información que quizás no hayas considerado, podrías descubrir que si la violación se debe a negligencia deliberada, el impacto podría ser de hasta $1.5 millones. Este ejemplo ilustra que, aunque el análisis de riesgo cuantitativo proporciona una forma confiable y objetiva de evaluar riesgos potenciales, los resultados solo son tan buenos como los datos que introduces en el proceso.

Además, recuerde que ALE determina el costo del riesgo. No confunda ALE con el costo total de propiedad (TCO), que evalúa el costo de una solución particular.

¿Cómo se calcula la expectativa de pérdida anual?

Aquí hay una visión general de cómo calcular ALE. Cada término se explica con más detalle a continuación.

1. Inventarie sus activos de información y determine el valor del activo (AV) de cada uno.
2. Identifique las amenazas potenciales para cada activo.
3. Para cada amenaza, haga lo siguiente:

#1. Determine el factor de exposición (EF) a esa amenaza para cada activo de información.

#2. Calculó la expectativa de pérdida única (SLE) utilizando esta fórmula: AV x EF = SLE

#3. Calcule la tasa anual de ocurrencia (ARO).

#4. Calcule la expectativa de pérdida anualizada (ALE) utilizando esta fórmula: SLE x ARO = ALE

• Valor del activo — Muchos de sus activos son elementos tangibles, como computadoras, servidores y software. Otros activos son intangibles, como la experiencia, bases de datos, planes e información sensible. El valor del activo es el valor total del activo específico; si su servidor vale $6,000, su AV es $6,000. Aquí hay algunas preguntas que debe considerar para encontrar su AV:
• ¿Qué pagó para adquirir o construir el activo en cuestión?
• ¿Cuál es su responsabilidad si el activo se ve comprometido?
• ¿Cuál es el costo de producción si el activo no está disponible?
• ¿Cuál es el valor del activo para los usuarios externos?
• ¿De qué otras maneras afectaría la pérdida del activo a su negocio?
• Factor de exposición — Este es el porcentaje del valor de un activo determinado que se pierde como resultado de un incidente específico. Si espera perder un cuarto del valor de un activo en un incidente, entonces su EF para ese activo es 0.25 (25%). Recuerde que solo puede calcular el EF en relación con un riesgo específico, como una violación de seguridad o un desastre natural. También tenga en cuenta que una pérdida puede superar el valor de un activo dado; en tales casos, el EF sería mayor que 1.0 (más del 100%).
• Expectativa de pérdida única — Esta es la cantidad de dinero que espera perder cada vez que un activo específico se pierde o se ve comprometido. Por ejemplo, puede esperar perder $300 cada vez que su servidor empresarial se averíe, o podría perder $1,500 cada vez que una laptop se pierde o es robada. Para calcular la expectativa de pérdida única, multiplique el AV y el EF.
• Tasa anual de ocurrencia — Este es el número de veces que espera que ocurra un incidente específico en un año. Si espera que su servidor se caiga cinco veces por año, su ARO sería 5. Si el ARO es menor que 1, lo expresa como un porcentaje — por ejemplo, si la probabilidad de un incidente es una vez cada cuatro años, el ARO para ese incidente sería 0.25 (25%).

Ejemplo

Aquí tienes un escenario ficticio para ayudarte a practicar el cálculo de un ALE y su uso en una decisión empresarial. Ten en cuenta que se trata de un cálculo muy simplificado que considera solo una amenaza a un activo de información.

Supongamos que su organización está considerando invertir en una solución que pueda ayudarle a descubrir acciones malintencionadas de insiders en sus servidores de archivos para reducir el riesgo de perder una pieza particular de propiedad intelectual (IP). Aquí le mostramos cómo podría determinar si la inversión en una solución de seguridad específica está justificada:

1. Determine el AV. Digamos que el activo IP de interés tiene un valor de $75,000.
2. Calcule el EF. Supongamos que es 0.75 (75%).
3. Calcule el SLE multiplicando el AV por el EF, lo que da como resultado un SLE de $56,250.
4. Determine el ARO. Supongamos que es 0.95 (lo que significa que hay un 95% de posibilidades de que ocurra una actividad maliciosa interna en cualquier año dado).
5. Calcule el ALE: $56,250 (SLE) X 0.95 (ARO) = $53,357.50 (ALE).
6. Compare el ALE con el costo de cada una de las soluciones de software que está considerando. Si la tarifa de licencia supera su ALE ($53,357.50), la solución no es una inversión que valga la pena.

Conclusión

Calcular el ALE como parte de una evaluación cuantitativa de riesgos es esencial para tomar decisiones comerciales informadas. Aunque el proceso puede ser confuso y arduo a veces, determinar los riesgos de manera confiable y calcular las pérdidas potenciales con precisión proporcionará información valiosa para ayudarte a tomar decisiones comerciales inteligentes. Con el ALE como herramienta de evaluación de riesgos en tu bolsillo, podrás realizar análisis de costo-beneficio de manera más efectiva y determinar si vale la pena invertir en medidas de contramedida específicas.