Loading...
Publication
Quantifying cyber risk with FAIR : a case-study of Super Bock Bebidas, S.A.
| Name: | Description: | Size: | Format: | |
|---|---|---|---|---|
| 1.89 MB | Adobe PDF |
Authors
Advisor(s)
Abstract(s)
As cyber threats grow in frequency and impact, organisations must shift from reactive security measures to strategic risk governance. However, many continue to rely on qualitative risk assessments, leading to ambiguity and ineffective communication between technical teams and executive leadership. This dissertation addresses that gap by applying the Factor Analysis of Information Risk (FAIR) model to quantify the financial exposure of a ransomware scenario at Super Bock Bebidas, S.A., a leading Portuguese beverage company. Through a structured case study, this research decomposes a phishing-based ransomware attack targeting privileged users into measurable components. Using BetaPERT distributions and Monte Carlo simulation, the model estimates both Annualised Loss Exposure (ALE) and Cyber Value at Risk (Cy-VaR). Key results show an ALE of €45,307 and a Cy-VaR of €88,424, well below the organisation's €10 million risk appetite. The analysis also evaluates the risk-reducing impact of cyber insurance, quantifying a 74% reduction in ALE post-policy application. By translating risk into financial terms, the FAIR methodology enables more transparent, defensible, and governance-aligned decision-making. The findings support a broader shift toward data-driven cybersecurity governance, providing a replicable approach for other organisations seeking to embed cyber risk into enterprise risk management frameworks.
À medida que as ciberameaças aumentam em frequência e impacto, as organizações devem passar de medidas de segurança reativas para uma governação estratégica do risco. No entanto, muitas continuam a depender de avaliações qualitativas de risco, o que conduz a ambiguidade e comunicação ineficaz entre as equipas técnicas e a liderança executiva. Esta dissertação aborda essa lacuna aplicando o modelo Factor Analysis of Information Risk (FAIR) para quantificar a exposição financeira de um cenário de ransomware na Super Bock Bebidas, S.A., uma empresa portuguesa líder no setor das bebidas. Através de um caso de estudo estruturado, esta investigação decompõe um ataque de ransomware baseado em phishing, direcionado a utilizadores privilegiados, em componentes mensuráveis. Recorrendo a distribuições BetaPERT e simulação de Monte Carlo, o modelo estima tanto a Annualised Loss Exposure (ALE) como o Cyber Value at Risk (Cy-VaR). Os principais resultados revelam uma ALE de €45.307 e um Cy-VaR de €88.424, valores significativamente abaixo do apetite ao risco da organização, fixado em €10 milhões. A análise avalia ainda o impacto redutor do seguro cibernético, quantificando uma redução de 74% na ALE após a aplicação da apólice. Ao traduzir o risco em termos financeiros, a metodologia FAIR permite decisões mais transparentes, justificadas e alinhadas com a governação. Os resultados apoiam uma transição mais ampla para uma governação de cibersegurança orientada por dados, oferecendo uma abordagem replicável para outras organizações que pretendam integrar o risco cibernético nos seus quadros de gestão de risco empresarial.
À medida que as ciberameaças aumentam em frequência e impacto, as organizações devem passar de medidas de segurança reativas para uma governação estratégica do risco. No entanto, muitas continuam a depender de avaliações qualitativas de risco, o que conduz a ambiguidade e comunicação ineficaz entre as equipas técnicas e a liderança executiva. Esta dissertação aborda essa lacuna aplicando o modelo Factor Analysis of Information Risk (FAIR) para quantificar a exposição financeira de um cenário de ransomware na Super Bock Bebidas, S.A., uma empresa portuguesa líder no setor das bebidas. Através de um caso de estudo estruturado, esta investigação decompõe um ataque de ransomware baseado em phishing, direcionado a utilizadores privilegiados, em componentes mensuráveis. Recorrendo a distribuições BetaPERT e simulação de Monte Carlo, o modelo estima tanto a Annualised Loss Exposure (ALE) como o Cyber Value at Risk (Cy-VaR). Os principais resultados revelam uma ALE de €45.307 e um Cy-VaR de €88.424, valores significativamente abaixo do apetite ao risco da organização, fixado em €10 milhões. A análise avalia ainda o impacto redutor do seguro cibernético, quantificando uma redução de 74% na ALE após a aplicação da apólice. Ao traduzir o risco em termos financeiros, a metodologia FAIR permite decisões mais transparentes, justificadas e alinhadas com a governação. Os resultados apoiam uma transição mais ampla para uma governação de cibersegurança orientada por dados, oferecendo uma abordagem replicável para outras organizações que pretendam integrar o risco cibernético nos seus quadros de gestão de risco empresarial.
Description
Keywords
Cyber risk quantification FAIR Monte Carlo simulation Governance Ransomware Cybersecurity Cyber insurance Quantificação de ciber riscos Simulação de Monte Carlo Cibersegurança Seguro cibernético
Pedagogical Context
Citation
Publisher
CC License
Without CC licence