Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Gestión de riesgos en ciberseguridad: impacto y probabilidad

lcspc

Gestión de riesgos en ciberseguridad: impacto, probabilidad y priorización

Ya sabes qué es la ciberseguridad, qué es el ciberespacio y qué activos quieres proteger.
El siguiente paso es entender cómo gestionar los riesgos que afectan a esos activos.

¿Qué es el riesgo en ciberseguridad?

En ciberseguridad, el riesgo suele entenderse como la combinación de:

  • Una amenaza (algo que puede causar daño).

  • Una vulnerabilidad (una debilidad que esa amenaza puede explotar).

  • El impacto que tendría si el incidente ocurre.

De forma simple:

Riesgo = qué tan probable es que pase algo + qué tan grave sería si pasa.

Ejemplo sencillo:

  • Activo: base de datos de clientes.

  • Amenaza: ciberdelincuente que intenta robar datos.

  • Vulnerabilidad: servidor sin parches de seguridad.

  • Riesgo: robo de datos de clientes, con impacto legal, económico y reputacional.

Impacto y probabilidad

Dos conceptos clave para evaluar riesgos:

  • Impacto: qué tan grave sería el efecto del incidente (económico, legal, operativo, reputacional, etc.).

  • Probabilidad (o verosimilitud): qué tan posible es que el incidente ocurra, dadas las amenazas y las debilidades actuales.

Aunque no siempre se usen fórmulas matemáticas complejas, muchas organizaciones usan escalas simples, por ejemplo:

  • Impacto: bajo / medio / alto.

  • Probabilidad: baja / media / alta.

Con esto se puede priorizar:

  • Riesgos con impacto alto + probabilidad alta → prioridad máxima.

  • Riesgos con impacto bajo y probabilidad baja → prioridad menor.

Tratamiento de riesgos: qué hacer con ellos

Una vez que identificas y evalúas los riesgos, toca decidir qué hacer.
En general, las opciones de tratamiento suelen ser:

  • Mitigar / reducir: aplicar controles para bajar la probabilidad o el impacto (por ejemplo, endurecer configuraciones, capacitar al personal, usar MFA).

  • Transferir: pasar parte del riesgo a un tercero (seguros, proveedores, contratos).

  • Aceptar: decidir conscientemente no tomar medidas adicionales porque el riesgo es asumible.

  • Evitar: dejar de hacer la actividad que genera el riesgo (por ejemplo, no ofrecer cierto servicio).

La gestión de riesgos es un proceso continuo, no algo que se hace una sola vez.

Preguntas tipo examen (3 preguntas)

Estas preguntas no son oficiales, pero te ayudan a fijar conceptos clave.

Pregunta 1

¿Cuál de las siguientes opciones describe mejor el concepto de riesgo en ciberseguridad?

A. La presencia de cualquier vulnerabilidad en un sistema, sin considerar nada más.
B. La probabilidad de que una amenaza explote una vulnerabilidad, combinada con el impacto que tendría el incidente.
C. El número total de incidentes de seguridad que ha sufrido una organización en el último año.
D. El costo de todos los controles de seguridad implementados en la organización.

Pregunta 2

¿Cuál de las siguientes combinaciones representa mejor la relación entre amenaza, vulnerabilidad y riesgo?

A. Amenaza = debilidad, vulnerabilidad = atacante, riesgo = pérdida de datos.
B. Amenaza = posible origen de daño, vulnerabilidad = debilidad explotable, riesgo = resultado de que una amenaza explote una vulnerabilidad.
C. Amenaza = cualquier control de seguridad, vulnerabilidad = falta de presupuesto, riesgo = multas regulatorias.
D. Amenaza = política de seguridad, vulnerabilidad = procedimiento documentado, riesgo = incidente resuelto.

Pregunta 3

¿Cuál de las siguientes opciones es un ejemplo de tratamiento de riesgo por mitigación?

A. Decidir no implementar ningún control adicional porque el impacto se considera aceptable.
B. Contratar un seguro para cubrir parte de los costos ante incidentes.
C. Cerrar un servicio en línea para evitar completamente un tipo de ataque.
D. Implementar autenticación multifactor (MFA) para reducir la probabilidad de acceso no autorizado.

Respuestas correctas y breve explicación

  • Pregunta 1 → Respuesta correcta: B
    El riesgo se entiende como la combinación de la probabilidad de que ocurra un incidente y el impacto que tendría si se materializa.

  • Pregunta 2 → Respuesta correcta: B
    La amenaza es el posible origen de daño, la vulnerabilidad es la debilidad que puede ser explotada y el riesgo surge cuando una amenaza puede usar esa vulnerabilidad para afectar a la organización.

  • Pregunta 3 → Respuesta correcta: D
    Implementar MFA reduce la probabilidad de acceso no autorizado, por lo que es un ejemplo de mitigación.

    • A → aceptación del riesgo.

    • B → transferencia.

    • C → evitación.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada.

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing