La cuantificación del riesgo cibernético, práctica básica para los CISO en 2025

La ciberseguridad continuará siendo tema de debate durante 2025, como prioridad crítica para las empresas.

Qualys ha sondeado las opiniones de sus directivos y ha publicado una lista con siete predicciones para el nuevo año acerca de la gestión de riesgos.

Para empezar, esta firma de tecnología cree que “aumentarán los ataques a largo plazo a entornos cloud y las fugas de datos”, ya sea por un error humano o por la falta de control. Los ataques en la nube tendrán, según sus expertos, tiempos de permanencia mayores

Al mismo tiempo, “el ransomware seguirá aumentando en intensidad y sofisticación”, auspiciado por los modelos de RaaS o ransomware como servicio que pone herramientas al alcance de cualquiera.

Otro problema tiene que ver con la inteligencia artificial. Y es que “la IA mejorará las defensas” y el reconocimiento de patrones enrevesados, “pero también se utilizará en ciberataques más sofisticados” de phishing y malware inteligente.

Esto, a su vez, llevará a las organizaciones a adoptar soluciones de monitorización continua y aprendizaje adaptativo.

También se espera que las compañías actualicen sus políticas ciberresiliencia, gestión de riesgos, seguridad y privacidad.

“Mientras las organizaciones actualizan sus estrategias de gestión de riesgos, tecnologías como la IA seguirán siendo una prioridad, tanto para conocer los ataques como para defenderse de ellos”, señala Sergio Pedroche, Country Manager de Qualys Iberia.

“Por su parte, los nuevos modelos CRQ” o cuantificación del riesgo cibernético “cambiarán la forma en que las organizaciones abordan la preparación para la resiliencia”, predice Pedroche, y “proliferarán aquellas plataformas de gestión de riesgos que permitan contextualizar las amenazas y elaborar informes detallados para el cumplimiento”.

Qualys sostiene que, durante 2025, “la cuantificación del riesgo cibernético será una práctica esencial para el CISO” y sus programas de gestión. Esto implica la integración de métricas financieras y datos técnicos sobre el riesgo de seguridad de forma total o parcial.

El año que viene “los CISO redoblarán sus esfuerzos en la gestión de riesgos” para actuar en casos críticos para el negocio y cuantificar las implicaciones financieras.

“Esto les permitirá, además, justificar la inversión en los controles adecuados y compensar los riesgos residuales con primas de seguro adecuadas”, explican desde Qualys.

En este escenario destacan la “automatización y orquestación” como “claves para centralizar la telemetría de riesgos”, medir la eficiencia operativa, controlar la superficie de ataque, implementar políticas como código y, en definitiva, reunir datos de utilidad en un solo lugar.

Por último, “la necesidad de consolidar las capacidades de seguridad espoleará la adopción de plataformas unificadas”, capaces de ofrecer contexto del panorama de riesgos.