Riesgo positivo dentro de la ciberseguridad

Greg Bell, Amazon Web Services (AWS)

mayo de 2022 (historial de documentos)

La mayoría de las personas piensa en el riesgo desde una perspectiva negativa, como la exposición a una pérdida o la gestión de un evento adverso. Sin embargo, la definición de riesgo de la Organización Internacional de Normalización (ISO) es el “efecto de la incertidumbre en los objetivos”. En este caso, el efecto puede ser positivo o negativo.

Los riesgos reales pueden variar de un sector a otro, pero esta definición estándar se aplica a todos, y cada sector tiene riesgos tanto negativos como positivos. En el sector de la ciberseguridad, el riesgo negativo se refiere a una pérdida potencial y el riesgo positivo se refiere a la posible ganancia de activos, conocimientos, mejoras o datos.

Los dominios de gestión de proyectos y TI han adoptado la estrategia de evaluar los riesgos positivos en los informes y las decisiones empresariales. Sin embargo, esta todavía no se ha adoptado como una práctica habitual en el sector de la ciberseguridad, y muchas metodologías de gestión de riesgos aún se centran en los riesgos negativos. Si se menciona el riesgo positivo, es solo brevemente.

En la ciberseguridad, siempre se consideró el riesgo exclusivamente desde una perspectiva negativa. Los dos tipos más comunes de riesgo negativo en el campo de la ciberseguridad son los siguientes:

Riesgo de impacto negativo: exposición a pérdidas causadas por factores externos, como una amenaza. Por ejemplo, los ciberdelincuentes pueden provocar un incidente de seguridad o aumentar la probabilidad de que ocurra.
Riesgo de impacto positivo: exposición a pérdidas en busca de una ganancia, como una vulnerabilidad producto de un cambio. Por ejemplo, al implementar una estrategia de TI, puede aumentar la posibilidad de que se produzca un incidente de seguridad sin que usted lo advierta. El riesgo de impacto positivo no es lo mismo que riesgo positivo. A pesar de que se produce en busca de una ganancia, el riesgo de impacto positivo se centra en la probabilidad de pérdidas.

Hasta hace poco, la ciberseguridad solo consideraba el riesgo negativo, y la definición de riesgo se centraba en un posible resultado negativo. Los riesgos positivos se centran en el posible resultado positivo al principio de la identificación del riesgo. La exclusión del riesgo positivo hace que no se reconozcan los resultados positivos en materia de ciberseguridad. Debido a que se centran en el riesgo negativo, los líderes ejecutivos suelen percibir la ciberseguridad como algo reactivo en lugar de proactivo y subestiman la contribución de la ciberseguridad a los resultados empresariales positivos.

En este documento se define el riesgo positivo para el sector de la ciberseguridad y se analizan los beneficios y la importancia de incluir los riesgos positivos en la estrategia de ciberseguridad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Beneficios del riesgo positivo