Risiko positif dalam keamanan siber - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Risiko positif dalam keamanan siber

Greg Bell, Amazon Web Services ()AWS

Mei 2022 (riwayat dokumen)

Kebanyakan orang memikirkan risiko dari perspektif negatif, seperti paparan kerugian atau mengelola peristiwa yang merugikan. Namun, definisi risiko Organisasi Internasional untuk Standardisasi (ISO) adalah “efek ketidakpastian pada tujuan.” Dalam hal ini, efeknya mungkin positif atau negatif.

Risiko aktual dapat bervariasi antar industri, tetapi definisi standar ini berlaku untuk semua, dan setiap industri memiliki risiko negatif dan positif. Dalam industri keamanan siber, risiko negatif mengacu pada potensi kerugian, dan risiko positif mengacu pada potensi keuntungan aset, pengetahuan, perbaikan, atau data.

Manajemen proyek dan domain TI telah mengadopsi strategi mengevaluasi risiko positif dalam laporan bisnis dan keputusan bisnis. Namun, industri keamanan siber belum mengadopsi ini sebagai praktik umum, dan banyak metodologi manajemen risiko terus fokus pada risiko negatif. Jika mereka membahas risiko positif sama sekali, itu hanya sebentar.

Secara tradisional, cybersecurity memandang risiko secara eksklusif melalui lensa negatif. Berikut ini adalah dua jenis risiko negatif yang umum dalam keamanan siber:

  • Risiko downside — Paparan kerugian dari faktor eksternal, seperti ancaman. Misalnya, penjahat cyber mungkin memperkenalkan atau meningkatkan kemungkinan insiden keamanan.

  • Risiko naik — Paparan kerugian saat mengejar keuntungan, seperti kerentanan yang dihasilkan dari perubahan. Misalnya, saat menerapkan strategi TI, Anda mungkin secara tidak sengaja meningkatkan potensi insiden keamanan. Risiko naik tidak sama dengan risiko positif. Meskipun terjadi saat mengejar keuntungan, risiko naik difokuskan pada potensi kerugian.

Sampai saat ini, keamanan siber hanya mempertimbangkan risiko negatif, dan definisi risiko telah difokuskan pada hasil negatif yang potensial. Risiko positif berfokus pada potensi hasil positif pada awal identifikasi risiko. Pengecualian risiko positif mengakibatkan kegagalan untuk mengenali hasil positif dalam keamanan siber. Karena fokus pada risiko negatif, kepemimpinan eksekutif umumnya menganggap cybersecurity reaktif daripada proaktif dan meremehkan kontribusi cybersecurity terhadap hasil bisnis yang positif.

Dokumen ini mendefinisikan risiko positif bagi industri keamanan siber dan membahas manfaat dan pentingnya memasukkan risiko positif dalam strategi keamanan siber Anda.