사이버 보안 내의 긍정적 위험

Greg Bell, Amazon Web Services(AWS)

2022년 5월(문서 기록)

대부분의 사람들은 손실 노출 또는 부작용 관리와 같은 부정적인 관점에서 위험을 생각합니다. 그러나 국제표준화기구(SO)의 위험 정의는 '불확실성이 목표에 미치는 영향'입니다. 이 경우 효과는 긍정적일 수도 있고 부정적일 수도 있습니다.

실제 위험은 산업마다 다를 수 있지만 이 표준 정의는 모든 산업에 적용되며 각 산업에는 부정적 위험과 긍정적 위험이 모두 있습니다. 사이버 보안 업계에서 부정적 위험은 잠재적 손실을 의미하고, 긍정적 위험은 자산, 지식, 개선 사항 또는 데이터의 잠재적 이득을 의미합니다.

프로젝트 관리 및 IT 영역에서는 비즈니스 보고서와 비즈니스 의사결정에서 긍정적 위험을 평가하는 전략을 채택하고 있습니다. 그러나 사이버 보안 업계에서는 아직 이를 일반적인 관행으로 채택하지 않고 많은 위험 관리 방법론에서 계속해서 부정적 위험에 초점을 맞추고 있습니다. 긍정적 위험에 대해 논의하더라도 잠깐일 뿐입니다.

전통적으로 사이버 보안은 위험을 부정적인 시각으로만 봅니다. 다음은 사이버 보안에서 흔히 볼 수 있는 두 가지 유형의 부정적 위험입니다.

• 하락 위험 - 위협 등의 외부 요인으로 인한 손실에 노출됩니다. 예를 들어, 사이버 범죄자는 보안 인시던트를 유발하거나 발생 가능성을 높일 수 있습니다.

• 상승 위험 - 변화로 인한 취약성과 같은 이익을 추구하는 동안 손실에 노출됩니다. 예를 들어, IT 전략을 구현할 때 의도치 않게 보안 문제의 발생 가능성이 높아질 수 있습니다. 상승 위험은 긍정적 위험과 같지 않습니다. 이익을 추구하는 동안 발생하더라도 상승 위험은 손실 가능성에 초점을 맞추고 있습니다.

최근까지 사이버 보안은 부정적 위험만 고려했고 위험의 정의는 잠재적인 부정적 결과에 초점을 맞췄습니다. 긍정적 위험은 위험 식별 초기에 잠재적인 긍정적 결과에 초점을 맞춥니다. 긍정적 위험을 배제하면 사이버 보안의 긍정적 결과를 인식하지 못하게 됩니다. 부정적인 위험에 초점을 맞추기 때문에 경영진은 일반적으로 사이버 보안을 사전 예방이라기보다는 사후 대응이라고 인식하고 사이버 보안이 긍정적인 비즈니스 성과에 기여하는 바를 과소평가합니다.

이 문서에서는 사이버 보안 업계의 긍정적 위험을 정의하고 사이버 보안 전략에 긍정적 위험을 포함시키는 것의 이점과 중요성에 대해 설명합니다.