Explícame el análisis de riesgo cuantitativo frente al cualitativo, y define ALE, SLE y ARO.
Respuesta breve
El análisis cuantitativo asigna valores monetarios concretos para calcular la pérdida esperada; el análisis cualitativo clasifica el riesgo en escalas relativas (alto/medio/bajo) mediante juicio experto. El cuantitativo usa SLE = valor del activo x factor de exposición, ARO = ocurrencias esperadas por año, y ALE = SLE x ARO para expresar la pérdida anual esperada en euros.
El análisis de riesgo existe para ayudar a la dirección a tomar decisiones defendibles sobre dónde gastar un presupuesto de seguridad limitado. El CISSP plantea dos métodos complementarios, y los entrevistadores quieren saber si entiendes tanto los cálculos como sus límites.
Análisis cuantitativo
El análisis cuantitativo asocia dinero al riesgo para que los resultados sean comparables y los presupuestos justificables. La cadena central es:
- SLE (Single Loss Expectancy) = Valor del activo x Factor de exposición. El factor de exposición es el porcentaje del activo perdido en un evento.
- ARO (Annualized Rate of Occurrence) = cuántas veces al año esperas el evento.
- ALE (Annualized Loss Expectancy) = SLE x ARO.
Si un almacén de datos de 500 000 € tiene un factor de exposición del 40 %, el SLE es de 200 000 €. Si esperas el evento cada dos años, el ARO es 0,5, por lo que el ALE es de 100 000 €. Un control que cuesta 30 000 €/año y reduce el ARO a la mitad es fácil de justificar.
Análisis cualitativo
Cuando no existen cifras fiables — daño reputacional, intención de un interno, amenazas novedosas — clasificas el riesgo en escalas relativas (alto/medio/bajo, o 1-5) según probabilidad e impacto, normalmente mediante talleres, matrices de riesgo y juicio experto. Es más rápido y saca a la luz riesgos que se resisten a la medición, pero es subjetivo y más difícil de defender ante un director financiero.
Por qué importan ambos
Los programas maduros son híbridos: cualitativo para triar rápidamente el panorama, cuantitativo en los pocos riesgos donde el gasto está en disputa. El resultado alimenta el tratamiento del riesgo, y lo que queda es el riesgo residual que un responsable de negocio — no el equipo de seguridad — debe aceptar formalmente.
Qué buscan los entrevistadores
Enunciar la fórmula del ALE sin vacilar, dar un ejemplo numérico concreto, y reconocer que los datos cuantitativos suelen escasear, razón por la que el juicio cualitativo y un enfoque híbrido siguen siendo esenciales.
Posibles preguntas de seguimiento
- ¿Cómo justificarías un control cuyo coste supera el ALE que reduce?
- ¿Por qué la mayoría de los programas de riesgo reales son híbridos en lugar de puramente cuantitativos?
- ¿Qué es el riesgo residual y quién debe aceptarlo?