CISSP — Dominio 1
Análisis de Riesgo Cuantitativo
Los 15 Errores Más Comunes
REPASO EN 5 MINUTOS
Si lo puedes explicar hablando,
ya estás listo.
El objetivo real del análisis cuantitativo: apoyar una decisión de negocio sobre el riesgo — no memorizar fórmulas.
📐 Conceptos Clave — En Palabras Simples
| Concepto | Sigla | Qué Significa | Fórmula |
|---|---|---|---|
| Valor del Activo | AV | Lo que vale para el negocio | — |
| Factor de Exposición | EF | Qué tan fuerte es el golpe (%) | — |
| Pérdida por Evento | SLE | Daño de un solo incidente | AV × EF |
| Frecuencia Anual | ARO | Cuántas veces pasa al año | — |
| Pérdida Anual Esperada | ALE | Cuánto se pierde al año | SLE × ARO |
Activo (AV)
→
Impacto (SLE)
→
Frecuencia (ARO)
→
Pérdida Anual (ALE)
→
DECISIÓN
🧮 Ejemplo Completo
Escenario
Base de clientes: $500,000/año
Factor de exposición: 40%
SLE = $500K × 0.4 = $200,000
ARO: 0.5 (cada 2 años)
ALE = $200K × 0.5 = $100,000/año
Factor de exposición: 40%
SLE = $500K × 0.4 = $200,000
ARO: 0.5 (cada 2 años)
ALE = $200K × 0.5 = $100,000/año
Control: $30,000/año
Reduce ALE a $20,000
Ahorro neto: $50,000 → ✅ Aprobar
Reduce ALE a $20,000
Ahorro neto: $50,000 → ✅ Aprobar
La pregunta extra: "¿Qué decisión ayuda a tomar este número?"
🚫 Errores Básicos (1–5) — Lo Que Más Se Ve
1
Memorizar fórmulas sin entenderlas
Si lo explicas hablando, estás listo. Las cuentas son básicas.
2
Discutir si los números son "realistas"
Acepta los números como vienen. El CISSP mide razonamiento.
3
Mezclar cuantitativo con cualitativo
Números → comparación → decisión. Nada de colores u opiniones.
4
Calcular ALE y no saber para qué sirve
Siempre conecta el número con una decisión de negocio.
5
Estudiar escenarios raros
Domina el flujo simple: activo → impacto → frecuencia → ALE → control.
👁️ Errores Silenciosos (6–10)
Error 6
Asumir que el activo siempre es tecnología
El activo suele ser: información, proceso, ingreso, operación. Piensa en qué pierde el negocio.
Error 7
Ignorar el alcance del impacto
Piensa más allá del componente: interrupción, reputación, multas, pérdida operativa.
Error 8
No notar que el control cambia frecuencia, no impacto
Capacitación, monitoreo, detección → actúan sobre ARO, no SLE.
Error 9
Tratar ALE como número exacto
El ALE es referencia para decidir, no contabilidad precisa.
Error 10
Olvidar que el tiempo también es costo
Horas caídas, personal detenido, recuperación lenta → también suma al ALE.
⚡ Errores Avanzados (11–15)
Error 11
No identificar el año como unidad clave
ARO y ALE viven en marco anual. Traduce meses o semanas a año.
Error 12
Pasar por alto supuestos ya cerrados
Si la pregunta fija valores y tolerancia, usa los supuestos tal como vienen.
Error 13
Elegir controles "bonitos" en vez de razonables
El examen favorece la opción proporcionada al riesgo.
Error 14
No detectar cuándo el riesgo ya fue aceptado
Aceptar el riesgo también es decisión válida en CISSP.
Error 15
Ignorar quién toma la decisión
CISSP espera respuestas de quien prioriza y decide por el negocio.
⚖️ Regla de Oro del Control
¿El control se justifica?
✅ Control cuesta menos que el ALE
y reduce la pérdida → Se justifica
❌ Control cuesta más que el ALE
→ No se justifica
✅ Control cuesta menos que el ALE
y reduce la pérdida → Se justifica
❌ Control cuesta más que el ALE
→ No se justifica
Flujo Simple
1. Identificar activo
2. Estimar impacto
3. Estimar frecuencia
4. Calcular pérdida anual
5. Comparar con control
6. Tomar la decisión
2. Estimar impacto
3. Estimar frecuencia
4. Calcular pérdida anual
5. Comparar con control
6. Tomar la decisión
🧠 Mentalidad CISSP
- El activo es lo que valora el negocio, no lo que se rompe
- El impacto va más allá del componente técnico
- El ALE es una referencia, no una verdad absoluta
- Algunos controles cambian frecuencia, otros impacto
- Aceptar riesgo es válido
- Siempre piensa: ¿quién decide?
Número → Comparación → Decisión de negocio
📐 Resumen rápido de fórmulas
AV = valor del activo
EF = factor de exposición
SLE = AV × EF
ARO = frecuencia anual
ALE = SLE × ARO
El control debe costar menos que la pérdida que evita.
