Analisis de Riesgo

Preparado por Leonel Maye.

Una técnica de riesgo cuantitativo es aquella que se utiliza para cuantificar el riesgo
asociado a una determinada situación o evento. En otras palabras, es un método que
utiliza datos numéricos y estadísticos para medir y evaluar los riesgos que pueden
afectar a una empresa, proyecto o cualquier otra actividad.

Entre las técnicas de riesgo cuantitativo más comunes se encuentran el análisis de

simulación Monte Carlo, el análisis de sensibilidad, el análisis de árboles de decisión y el
análisis de coste-beneficio.

El objetivo principal de utilizar técnicas de riesgo cuantitativo es proporcionar una

evaluación objetiva y precisa de los riesgos asociados a una determinada situación. Esto
permite a los tomadores de decisiones hacer una evaluación más informada de los
riesgos y tomar medidas adecuadas para minimizarlos o gestionarlos de manera efectiva.

Existen varias técnicas de riesgo cuantitativo que se pueden aplicar en la ciberseguridad,

algunas de ellas son:

1. Análisis de amenazas y vulnerabilidades: Esta técnica cuantifica la probabilidad de

que un evento de seguridad ocurra, y el impacto que tendría en la organización, al
combinar la probabilidad de una amenaza con la vulnerabilidad existente en los
sistemas y redes de la organización.

Ejemplo:
Supongamos que una organización tiene un sistema de gestión de inventario en línea
para administrar su stock de productos. La organización identifica la amenaza de un
ataque de denegación de servicio (DDoS) contra su sistema de inventario, que podría
dejar el sistema inoperable y causar la pérdida de ventas.

Para realizar un análisis de amenazas y vulnerabilidades, la organización podría evaluar la

probabilidad de que ocurra un ataque DDoS, y la vulnerabilidad del sistema de inventario
para este tipo de ataque. Supongamos que la organización determina que la probabilidad
de un ataque DDoS es del 5% en el próximo año, y que el sistema de inventario tiene una
vulnerabilidad alta a este tipo de ataque.

Con esta información, la organización puede calcular el riesgo asociado al ataque DDoS,
multiplicando la probabilidad de que ocurra el ataque (5%) por el impacto que tendría en
la organización, que podría ser la pérdida de ventas por el tiempo que el sistema de
inventario esté inoperable. Por ejemplo, si la organización estima que la pérdida de
ventas por un día de inoperatividad del sistema de inventario sería de $50,000, entonces
el riesgo asociado al ataque DDoS sería de $50,000 x 5% = $2,500.

Con esta información, la organización puede tomar medidas preventivas y correctivas

para reducir el riesgo, como implementar medidas de seguridad adicionales para
proteger el sistema de inventario contra ataques DDoS, o prepararse para la eventualidad
de un ataque mediante la implementación de un plan de recuperación de desastres.

2. Análisis de costo-beneficio: Esta técnica evalúa el costo de implementar una medida

de seguridad específica, en comparación con el beneficio que se obtiene al reducir el
riesgo asociado a una amenaza en particular.

Ejemplo:
Supongamos que una organización quiere implementar un nuevo sistema de
autenticación de dos factores para mejorar la seguridad de sus cuentas de usuario en
línea. Este sistema requeriría que los usuarios ingresen una contraseña y un código de
autenticación generado por una aplicación de autenticación en su teléfono móvil, lo que
reduciría el riesgo de que las cuentas sean comprometidas por atacantes externos.

Para realizar un análisis de costo-beneficio, la organización deberá evaluar el costo de

implementar el nuevo sistema de autenticación de dos factores, y compararlo con los
beneficios que se obtendrán al reducir el riesgo de compromiso de las cuentas de
usuario.

Supongamos que la implementación del nuevo sistema de autenticación de dos factores

requerirá una inversión de $50,000 para la adquisición de la aplicación de autenticación,
y la capacitación de los usuarios para su uso. Además, supongamos que la
implementación del nuevo sistema reducirá el riesgo de compromiso de las cuentas de
usuario en un 50%, lo que disminuiría el costo de las posibles violaciones de seguridad
en un 30%, es decir, la organización espera ahorrar $100,000 en costos asociados a
posibles violaciones de seguridad.

Con esta información, la organización puede calcular el retorno de inversión (ROI) del
proyecto, que es la relación entre los beneficios obtenidos y los costos incurridos. En
este caso, el ROI sería del 100%, ya que el ahorro esperado de $100,000 es el doble del
costo de implementación de $50,000.

Con esta información, la organización puede decidir si el proyecto es viable desde una
perspectiva financiera, y si los beneficios de implementar el nuevo sistema de
autenticación de dos factores superan los costos asociados. Si el ROI es positivo, la
organización podría proceder con la implementación del sistema de autenticación de dos
factores para mejorar la seguridad de sus cuentas de usuario en línea.

4. Análisis de simulación Monte Carlo: Esta técnica utiliza un modelo de simulación para
evaluar el riesgo asociado a una amenaza de seguridad, teniendo en cuenta una
variedad de variables y escenarios posibles.

Ejemplo
Supongamos que una organización desea determinar el riesgo de que un atacante pueda
comprometer su sistema mediante un ataque de fuerza bruta, que implica intentar
múltiples combinaciones de credenciales de inicio de sesión hasta encontrar la correcta.

Para realizar un análisis de simulación Monte Carlo, la organización podría definir un

modelo que simule el proceso de ataque y sus posibles resultados. Por ejemplo, el
modelo podría incluir información sobre:

El número de intentos de inicio de sesión que realiza el atacante

La probabilidad de que el atacante adivine correctamente las credenciales
El tiempo necesario para que el atacante realice cada intento de inicio de sesión
El impacto potencial de un compromiso exitoso en el sistema

A continuación, la organización podría utilizar un software de simulación Monte Carlo

para ejecutar múltiples simulaciones utilizando diferentes valores para cada variable del
modelo. El software simularía el proceso de ataque y registraría los resultados de cada
simulación.

Después de ejecutar muchas simulaciones, el software podría generar una distribución

de probabilidades que muestre la probabilidad de que ocurra cada resultado posible. La
organización podría usar esta distribución para determinar la probabilidad de que un
atacante pueda comprometer su sistema mediante un ataque de fuerza bruta.

Por ejemplo, la organización podría determinar que hay una probabilidad del 5% de que
un atacante pueda comprometer el sistema después de 1000 intentos de inicio de
sesión, y una probabilidad del 10% después de 5000 intentos de inicio de sesión. La
organización también podría utilizar la distribución de probabilidades para identificar las
variables del modelo que tienen el mayor impacto en el riesgo de compromiso y tomar
medidas para reducir ese riesgo.

En resumen, el análisis de simulación Monte Carlo puede ayudar a las organizaciones a

evaluar el riesgo de posibles ataques cibernéticos y tomar medidas para reducir ese
riesgo.
 5. Análisis de árboles de decisión: Esta técnica utiliza un árbol de decisiones para
evaluar el riesgo asociado a una amenaza de seguridad, y determinar el curso de
acción más efectivo para reducir el riesgo.

Ejemplo
Supongamos que una organización desea evaluar el riesgo de un posible ataque de
malware en su red. El objetivo del ataque sería infiltrarse en la red para obtener acceso a
datos sensibles o interrumpir las operaciones comerciales.

Para realizar un análisis de árbol de decisión, la organización podría definir un modelo

que describa las posibles opciones y consecuencias del ataque de malware. Por ejemplo,
el modelo podría incluir información sobre:

Las posibles fuentes de entrada del malware en la red (por ejemplo, correos
electrónicos de phishing, dispositivos USB infectados)
Los posibles objetivos del malware (por ejemplo, robo de datos, interrupción de las
operaciones comerciales)
Las posibles medidas de mitigación que se pueden implementar para reducir el
riesgo de un ataque de malware (por ejemplo, capacitación del personal,
actualización de software)

A continuación, la organización podría utilizar un software de análisis de árboles de

decisión para visualizar el modelo y evaluar las diferentes opciones y consecuencias. El
software permitiría a la organización explorar diferentes escenarios y evaluar el riesgo
asociado con cada uno.

Por ejemplo, la organización podría identificar que la fuente más probable de entrada del
malware es a través de correos electrónicos de phishing, y que el objetivo más probable
del malware es el robo de datos. La organización también podría identificar que la
medida de mitigación más efectiva es la capacitación del personal sobre cómo detectar y
evitar correos electrónicos de phishing.

Utilizando el análisis de árbol de decisión, la organización puede obtener una

comprensión más profunda de los posibles riesgos asociados con un ataque de malware
y tomar medidas para reducir su probabilidad e impacto. Esto puede ayudar a mejorar la
seguridad de la organización y protegerla de posibles ataques.

Ejemplo de software
Existen varios software de análisis de árboles de decisión disponibles en el mercado que
se pueden utilizar en ciberseguridad. Aquí hay algunos ejemplos:
 1. IBM SPSS Modeler: Es una herramienta de minería de datos y análisis predictivo que
incluye capacidades para crear y analizar árboles de decisión. Se puede utilizar para
evaluar el riesgo de seguridad y tomar decisiones basadas en la información
obtenida.

2. RapidMiner: Es una plataforma de análisis de datos que incluye una herramienta de

creación de árboles de decisión. Se puede utilizar para realizar análisis de seguridad
y para crear modelos predictivos para prevenir posibles ataques.

3. KNIME: Es una herramienta de análisis de datos de código abierto que incluye una
herramienta de creación de árboles de decisión. Se puede utilizar para analizar datos
de seguridad y para predecir posibles ataques.

4. Microsoft Excel: También es posible crear árboles de decisión utilizando la función

"Análisis de datos" en Microsoft Excel. Aunque esta opción puede ser más limitada
que las anteriores, puede ser una opción económica y fácil de usar para crear
árboles de decisión simples.

5. Análisis de sensibilidad: Esta técnica evalúa la sensibilidad de un modelo de riesgo

de seguridad a cambios en las variables y supuestos utilizados en el modelo, lo que
permite identificar las variables más críticas y los escenarios de mayor riesgo.

Ejemplo
Supongamos que una organización ha implementado una nueva solución de seguridad en
su red para mitigar el riesgo de un ataque de malware. La organización desea evaluar la
efectividad de la solución y determinar cómo los diferentes parámetros de la solución
afectan la probabilidad de éxito del ataque.

Para realizar un análisis de sensibilidad, la organización podría definir un modelo que

describa los diferentes parámetros de la solución de seguridad y cómo estos afectan la
probabilidad de éxito del ataque. Por ejemplo, el modelo podría incluir información sobre:

La configuración de la solución de seguridad (por ejemplo, qué puertos están

bloqueados, qué tipo de análisis de tráfico se realiza)
La probabilidad de que el ataque sea detectado por la solución de seguridad
La probabilidad de que el ataque sea exitoso, incluso si se detecta
A continuación, la organización podría utilizar un software de análisis de sensibilidad para
evaluar cómo los diferentes parámetros afectan la probabilidad de éxito del ataque. El
software permitiría a la organización explorar diferentes escenarios y evaluar la
sensibilidad de los resultados a los diferentes parámetros.

Por ejemplo, la organización podría identificar que la probabilidad de éxito del ataque es
altamente sensible a la configuración de la solución de seguridad y que ciertos puertos
no bloqueados aumentan significativamente el riesgo de éxito del ataque. La
organización también podría identificar que la probabilidad de éxito del ataque es
moderadamente sensible a la probabilidad de detección de la solución de seguridad, y
que la detección temprana del ataque reduce significativamente la probabilidad de éxito.

Utilizando el análisis de sensibilidad, la organización puede identificar las variables clave

que afectan la efectividad de la solución de seguridad y tomar medidas para mejorar la
configuración de la solución y reducir el riesgo de un posible ataque. Esto puede ayudar
a mejorar la seguridad de la organización y protegerla de posibles amenazas.

Software
Existen varias opciones de software de análisis de sensibilidad disponibles en el mercado
que se pueden utilizar en ciberseguridad. Aquí hay algunos ejemplos:

1. TURBOSIM: Es un software de análisis de sensibilidad y optimización que se utiliza

para simular sistemas dinámicos complejos. Se puede utilizar para evaluar la eficacia
de las soluciones de seguridad y para optimizar los parámetros de las soluciones.

2. Risk Solver: Es una herramienta de análisis de riesgos que incluye capacidades de

análisis de sensibilidad. Se puede utilizar para evaluar el impacto de diferentes
factores de riesgo en la seguridad de la organización y para identificar las variables
más críticas que afectan el riesgo de seguridad.

3. Sensitivity Toolkit: Es una herramienta de análisis de sensibilidad que permite a los

usuarios explorar diferentes escenarios y evaluar la sensibilidad de los resultados a
los diferentes parámetros. Se puede utilizar para evaluar la efectividad de las
soluciones de seguridad y para identificar los factores clave que afectan la seguridad
de la organización.

4. Excel: También es posible realizar análisis de sensibilidad utilizando la función

"Análisis de datos" en Microsoft Excel. Aunque esta opción puede ser más limitada
 que las anteriores, puede ser una opción económica y fácil de usar para realizar
análisis de sensibilidad simples.

Estas técnicas pueden ayudar a las organizaciones a tomar decisiones más informadas y
efectivas para gestionar y reducir los riesgos asociados a la ciberseguridad.

Bibliografía
Algunas referencias bibliográficas para cada una de las técnicas de análisis de riesgo
cuantitativo que te propuse:

1. Análisis costo-beneficio:

"Cost-Benefit Analysis: Concepts and Practice" por Anthony Boardman, David H.

Greenberg, Aidan R. Vining y David L. Weimer.
"Applied Cost-Benefit Analysis" por Robert J. Brent.
"Cost-Benefit Analysis and the Environment: Recent Developments" por Anil
Markandya y Alistair Hunt.

2. Análisis de riesgo de eventos:

"Probabilistic Risk Assessment and Management for Engineers and Scientists" por
Hiromitsu Kumamoto y Ernest J. Henley.
"Risk Assessment: Theory, Methods, and Applications" por Marvin Rausand y Ingrid
H. Johnsen.
"Risk Analysis in Engineering and Economics" por Bilal M. Ayyub.

3. Análisis de simulación Monte Carlo:

"Simulation Modeling and Analysis" por Averill M. Law y David Kelton.

"Monte Carlo Methods in Financial Engineering" por Paul Glasserman.
"Monte Carlo Simulation for Risk Management" por William T. Scherer y Brian E.
Foust.

4. Análisis de árboles de decisión:

"Decision Analysis for the Professional" por Peter McNamee y John Celona.
"Decision Analysis: An Introduction to the Mathematics of Rational Decision Making"
por David Skinner.
"The Logic of Decision" por Richard C. Jeffrey.
 5. Análisis de sensibilidad:

"Sensitivity Analysis in Practice: A Guide to Assessing Scientific Models" por Andrea

Saltelli, Marco Ratto, Terry Andres y Francesca Campolongo.
"Sensitivity Analysis for Chemical Models" por James H. Seinfeld y Spyros N. Pandis.
"Handbook of Uncertainty Quantification" por Roger Ghanem, David Higdon y
Houman Owhadi.

30/04/2023