Skip to content

Explícame el análisis de riesgo cuantitativo frente al cualitativo, y define ALE, SLE y ARO.

Respuesta breve

El análisis cuantitativo asigna valores monetarios concretos para calcular la pérdida esperada; el análisis cualitativo clasifica el riesgo en escalas relativas (alto/medio/bajo) mediante juicio experto. El cuantitativo usa SLE = valor del activo x factor de exposición, ARO = ocurrencias esperadas por año, y ALE = SLE x ARO para expresar la pérdida anual esperada en euros.

El análisis de riesgo existe para ayudar a la dirección a tomar decisiones defendibles sobre dónde gastar un presupuesto de seguridad limitado. El CISSP plantea dos métodos complementarios, y los entrevistadores quieren saber si entiendes tanto los cálculos como sus límites.

Análisis cuantitativo

El análisis cuantitativo asocia dinero al riesgo para que los resultados sean comparables y los presupuestos justificables. La cadena central es:

  • SLE (Single Loss Expectancy) = Valor del activo x Factor de exposición. El factor de exposición es el porcentaje del activo perdido en un evento.
  • ARO (Annualized Rate of Occurrence) = cuántas veces al año esperas el evento.
  • ALE (Annualized Loss Expectancy) = SLE x ARO.

Si un almacén de datos de 500 000 € tiene un factor de exposición del 40 %, el SLE es de 200 000 €. Si esperas el evento cada dos años, el ARO es 0,5, por lo que el ALE es de 100 000 €. Un control que cuesta 30 000 €/año y reduce el ARO a la mitad es fácil de justificar.

Análisis cualitativo

Cuando no existen cifras fiables — daño reputacional, intención de un interno, amenazas novedosas — clasificas el riesgo en escalas relativas (alto/medio/bajo, o 1-5) según probabilidad e impacto, normalmente mediante talleres, matrices de riesgo y juicio experto. Es más rápido y saca a la luz riesgos que se resisten a la medición, pero es subjetivo y más difícil de defender ante un director financiero.

Por qué importan ambos

Los programas maduros son híbridos: cualitativo para triar rápidamente el panorama, cuantitativo en los pocos riesgos donde el gasto está en disputa. El resultado alimenta el tratamiento del riesgo, y lo que queda es el riesgo residual que un responsable de negocio — no el equipo de seguridad — debe aceptar formalmente.

Qué buscan los entrevistadores

Enunciar la fórmula del ALE sin vacilar, dar un ejemplo numérico concreto, y reconocer que los datos cuantitativos suelen escasear, razón por la que el juicio cualitativo y un enfoque híbrido siguen siendo esenciales.

Posibles preguntas de seguimiento

  • ¿Cómo justificarías un control cuyo coste supera el ALE que reduce?
  • ¿Por qué la mayoría de los programas de riesgo reales son híbridos en lugar de puramente cuantitativos?
  • ¿Qué es el riesgo residual y quién debe aceptarlo?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.