CALCULADORA DE RIESGO CIBERÉTICO

¿Cuánto riesgo tienes en Reales?

Estima tu pérdida esperada anual (ALE), VaR P90 y exposición a multa LGPD con metodología FAIR, calibrada por el IBM Cost of a Data Breach 2025 (Brasil). Cada resultado viene comparado con el benchmark de tu sector. Sin gate de correo electrónico, sin registro.

Perda anual esperada (ALE)

0

Cuánto, en promedio anual, esperamos que cueste — combinando probabilidad × impacto.

Probabilidad 12 meses

0%

Costo único (SLE)

0

Referencia sectorial — IBM 2025

0

VaR P90

0

VaR P99

0

Exposición multa LGPD

0

2% del ingreso (máximo 50 millones de pesos), ajustado por probabilidad y sensibilidad del sector.

Estimación basada en el IBM Cost of a Data Breach 2025 (Brasil) — promedio de 7,19 millones de pesos — y multiplicadores sectoriales derivados del mismo informe. Metodología FAIR adaptada. Para clientes de la plataforma CSURFACE, la metodología incorpora datos adicionales propietarios — ajuste fino de probabilidad a partir del contexto empresarial observado, procesos críticos identificados y inventario de activos eficazmente mapeados por la plataforma.

METODLOGÍA

Cómo calculamos

¿Qué significa cada número

  • ALE — Pérdida Anual Esperada (Annualized Loss Expectancy): el valor promedio que se espera perder anualmente por incidentes cibernéticos, combinando la probabilidad de un incidente con su costo (probabilidad × impacto). Es la "media" de la distribución de pérdidas — y, por sí sola, oculta los años atípicos.
  • SLE — Pérdida única (Single Loss Expectancy): el costo estimado de un único incidente material, si ocurriese. El ALE es, en esencia, el SLE ponderado por la probabilidad de que el incidente suceda durante el año.
  • Probabilidad 12 meses: la probabilidad estimada de al menos un incidente material en los próximos 12 meses, dada por el baseline del sector, la madurez de seguridad y la escala de activos expuestos.
  • VaR P90 — Valor a Riesgo (percentil 90): el nivel de pérdida que solo se supera en promedio una vez cada diez años — el "mal año". La pérdida cibernética es asímetrica; el VaR muestra la cola de eventos raros y graves que la media (ALE) no revela.
  • VaR P99 (percentil 99): el nivel de pérdida superado en promedio una vez cada cien años — el escenario catastrófico. Es la lectura del peor caso para dimensionar reservas y cobertura de seguros.
  • Exposición multa LGPD: la parte del riesgo relacionada con la sanción administrativa de la LGPD — hasta el 2% del ingreso, con techo de R$ 50 millones — ajustado por la probabilidad del incidente y la sensibilidad de los datos del sector.
  • Benchmark del sector: el costo promedio de una violación de datos en su sector, publicado por el IBM Cost of a Data Breach 2025 (Brasil). Sirve como referencia de mercado para situar su estimativa de coste único.

Cómo se realiza el cálculo

  • Costo base de violación: R$ 7,19 millones (IBM Cost of a Data Breach Report 2025 — promedio Brasil).
  • Multiplicador sectorial: razón entre el costo medio del sector y la media nacional (IBM 2025 Brasil — Salud R$ 11,43 mi, Financiero R$ 8,92 mi, Servicios R$ 8,51 mi). Sectores sin recorte propio se estiman por la ordenación setorial del IBM.
  • Benchmark del sector: costo promedio de violación publicado por el IBM 2025 para el sector, mostrado junto a su estimativa.
  • Probabilidad: baseline sectorial × madurez (básica/intermedia/avanzada) × escala de activos. Saturación en 95%.
  • SLE: ajustado por ingreso (potencias fraccionarias evitan linealidad ingenua).
  • VaR P90/P99: aproximación lognormal (1.85× y 3.6× del ALE).
  • Multa LGPD: 2% del ingreso (techo R$ 50M) × probabilidad × sensibilidad del sector.

Calibración para clientes de la plataforma

La calculadora pública aplica los parámetros descritos anteriormente — derivados del baseline sectorial y el benchmark IBM. Para clientes de la plataforma CSURFACE, la metodología incorpora datos propios adicionales recopilados por la propia operación: probabilidad calibrada por exposición real observada, contexto de negocio inferido por la capa agéntica, procesos críticos identificados en la superficie externa e inventario de activos efetivamente mapeado. El número entregado al consejo del cliente se calcula por activo y proceso — no estimado por sector.

⚠️ Esta es una calculadora orientativa ejecutiva — no reemplaza el análisis cuantitativo formal de riesgo realizado por actuario o consultoría especializada.