Aplicación del modelo FAIR para la cuantificación financiera del riesgo cibernético en pymes

Resumen

Las pequeñas y medianas empresas (PYMES) enfrentaron un incremento sostenido en su exposición a riesgos cibernéticos, caracterizado por limitaciones presupuestarias, ausencia de modelos formales de cuantificación y toma de decisiones basada principalmente en criterios técnicos no financieros. Esta situación generó una brecha significativa entre la identificación de amenazas y la evaluación económica de su impacto real, dificultando la priorización estratégica de inversiones en ciberseguridad. Ante esta problemática, el presente estudio tuvo como objetivo aplicar el modelo FAIR (Factor Analysis of Information Risk) para cuantificar financieramente el riesgo cibernético en PYMES y evaluar su utilidad como herramienta de apoyo a la gestión estratégica. Metodológicamente, se desarrolló un estudio cuantitativo aplicado en un conjunto de PYMES del sector servicios, donde se identificaron activos críticos, amenazas relevantes y escenarios de pérdida. Se estimaron la frecuencia de eventos de amenaza, la probabilidad de vulnerabilidad y la magnitud de la pérdida, integrando estos componentes para calcular la pérdida anual esperada (Annualized Loss Expectancy). Se incorporaron simulaciones probabilísticas para modelar distintos escenarios de riesgo. Los resultados evidenciaron que la aplicación estructurada del modelo permitió traducir riesgos técnicos en métricas financieras concretas, facilitando la priorización de controles de seguridad con base en análisis costo-beneficio. Se concluyó que el modelo FAIR constituyó una herramienta viable y técnicamente consistente para fortalecer la gestión estratégica del riesgo cibernético en PYMES, promoviendo decisiones fundamentadas en evidencia económica cuantificable.