Positives Risiko im Bereich Cybersicherheit - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Positives Risiko im Bereich Cybersicherheit

Greg Bell, Amazon Web Services (AWS)

Mai 2022 (Dokumentverlauf)

Die meisten Menschen betrachten Risiken aus einer negativen Perspektive, z. B. wenn sie einem Verlust ausgesetzt sind oder mit einem unerwünschten Ereignis umgehen. Die Internationale Organisation für Normung (ISO) definiert Risiko jedoch als „Auswirkung von Unsicherheit auf Ziele“. In diesem Fall kann der Effekt positiv oder negativ sein.

Die tatsächlichen Risiken können je nach Branche variieren, aber diese Standarddefinition gilt für alle, und jede Branche birgt sowohl negative als auch positive Risiken. In der Cybersicherheitsbranche bezieht sich negatives Risiko auf potenziellen Verlust und positives Risiko bezieht sich auf den potenziellen Gewinn von Komponenten, Wissen, Verbesserungen oder Daten.

Die Domains Projektmanagement und IT verfolgen die Strategie, positive Risiken in Geschäftsberichten und Geschäftsentscheidungen zu bewerten. Die Cybersicherheitsbranche hat dies jedoch noch nicht als gängige Praxis übernommen und viele Risikomanagementmethoden konzentrieren sich weiterhin auf negative Risiken. Wenn sie überhaupt über positive Risiken sprechen, dann nur kurz.

Traditionell betrachtet Cybersicherheit Risiken ausschließlich aus einer negativen Perspektive. Im Folgenden sind die beiden häufigsten Arten negativer Risiken im Bereich der Cybersicherheit aufgeführt:

  • Abwärtsrisiko – Risiko von Verlusten aufgrund externer Faktoren, wie z. B. einer Bedrohung. Cyberkriminelle könnten beispielsweise einen Sicherheitsvorfall herbeiführen oder dessen Wahrscheinlichkeit erhöhen.

  • Aufwärtsrisiko – Risiko von Verlusten bei gleichzeitiger Gewinnerzielung, wie z. B. eine Schwachstelle, die sich aus Veränderungen ergibt. Wenn Sie beispielsweise eine IT-Strategie implementieren, könnten Sie versehentlich das Risiko eines Sicherheitsvorfalls erhöhen. Ein Aufwärtsrisiko ist nicht dasselbe wie ein positives Risiko. Auch wenn es auf der Suche nach einem Gewinn auftritt, konzentriert sich das Aufwärtsrisiko auf das Verlustpotenzial.

Bis vor Kurzem wurden in der Cybersicherheit nur negative Risiken berücksichtigt, und die Definition von Risiko konzentrierte sich auf potenzielle negative Folgen. Positive Risiken konzentrieren sich auf das potenzielle positive Ergebnis zu Beginn der Risikoidentifikation. Der Ausschluss positiver Risiken führt dazu, dass die positiven Ergebnisse im Bereich der Cybersicherheit nicht erkannt werden. Aufgrund der Fokussierung auf negative Risiken nimmt die Unternehmensleitung Cybersicherheit häufig eher als reaktiv denn als proaktiv wahr und unterschätzt den Beitrag der Cybersicherheit zu positiven Geschäftsergebnissen.

In diesem Dokument werden positive Risiken für die Cybersicherheitsbranche definiert und die Vorteile und die Bedeutung der Einbeziehung positiver Risiken in Ihre Cybersicherheitsstrategie erörtert.