Rischio positivo nell'ambito della sicurezza informatica - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rischio positivo nell'ambito della sicurezza informatica

Greg Bell, Amazon Web Services (AWS)

Maggio 2022 (cronologia dei documenti)

La maggior parte delle persone pensa al rischio da una prospettiva negativa, come l'esposizione a perdite o la gestione di un evento avverso. Tuttavia, l'Organizzazione internazionale per la normazione (ISO) definisce il rischio come "l'effetto dell'incertezza sugli obiettivi". In questo caso, l'effetto può essere positivo o negativo.

I rischi effettivi possono variare da un settore all'altro, ma questa definizione standard si applica a tutti i settori, ognuno dei quali presenta rischi negativi e positivi. Nel settore della sicurezza informatica, il rischio negativo si riferisce alla perdita potenziale e il rischio positivo si riferisce al potenziale guadagno di risorse, conoscenze, miglioramenti o dati.

I settori del project management e dell'IT hanno scelto di valutare i rischi positivi nei report e nelle decisioni aziendali. Per il settore della sicurezza informatica, tuttavia, questa strategia non rappresenta ancora una pratica comune e molte metodologie di gestione del rischio continuano a concentrarsi sui rischi negativi. Quando si parla di rischi positivi, lo si fa solo brevemente.

Tradizionalmente, la sicurezza informatica considera il rischio esclusivamente da un punto di vista negativo. Di seguito sono riportati i due tipi più comuni di rischio negativo nella sicurezza informatica:

  • Rischio downside: esposizione a perdite derivante da fattori esterni, come una minaccia. I criminali informatici potrebbero, ad esempio, introdurre o aumentare la probabilità di un incidente di sicurezza.

  • Rischio upside: esposizione a perdite che si verifica durante la ricerca di un vantaggio, ad esempio una vulnerabilità derivante dal cambiamento. Ad esempio, quando si implementa una strategia IT, si potrebbe inavvertitamente aumentare il potenziale di un incidente di sicurezza. Il rischio upside non corrisponde al rischio positivo. Anche se si verifica mentre si persegue un guadagno, il rischio upside si concentra sul potenziale di perdita.

Fino a poco tempo fa, la sicurezza informatica considerava solo il rischio negativo e la definizione di rischio si concentrava su un potenziale esito negativo. I rischi positivi si concentrano sul potenziale esito positivo all'inizio dell'identificazione del rischio. L'esclusione del rischio positivo comporta il mancato riconoscimento degli esiti positivi nella sicurezza informatica. A causa dell'attenzione rivolta al rischio negativo, la leadership esecutiva percepisce generalmente la sicurezza informatica come reattiva anziché proattiva, sottovalutando il suo contributo al conseguimento di risultati aziendali positivi.

Questo documento definisce il rischio positivo per il settore della sicurezza informatica e illustra i vantaggi e l'importanza di includere i rischi positivi nella strategia di sicurezza informatica.