Risco positivo na segurança cibernética - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Risco positivo na segurança cibernética

Greg Bell, Amazon Web Services (AWS)

Maio de 2022 (histórico do documento)

A maioria das pessoas pensa no risco de uma perspectiva negativa, como exposição a perdas ou gerenciamento de eventos adversos. No entanto, a definição de risco da International Organization for Standardization (ISO) é o “efeito da incerteza nos objetivos”. Nesse caso, o efeito pode ser positivo ou negativo.

Os riscos reais podem variar entre os setores, mas essa definição padrão se aplica a todos eles, e cada setor tem seus riscos negativos e positivos. No setor de segurança cibernética, risco negativo refere-se a perdas potenciais e risco positivo refere-se ao ganho potencial em ativos, conhecimento, melhorias ou dados.

O gerenciamento de projetos e os domínios de TI adotaram a estratégia de avaliar riscos positivos em relatórios e decisões de negócios. No entanto, o setor de segurança cibernética ainda não adotou isso como uma prática comum, e muitas metodologias de gerenciamento de riscos continuam se concentrando nos riscos negativos. Se o risco positivo chega a ser discutido, isso é feito apenas brevemente.

Tradicionalmente, a segurança cibernética vê o risco exclusivamente através de uma lente negativa. A seguir estão os dois tipos comuns de risco negativo na segurança cibernética:

  • Risco negativo: exposição a perdas causadas por fatores externos, como uma ameaça. Por exemplo, cibercriminosos podem introduzir ou aumentar a probabilidade de um incidente de segurança.

  • Risco ascendente: exposição a perdas em busca de um ganho, como uma vulnerabilidade resultante da mudança. Por exemplo, ao implementar uma estratégia de TI, é possível aumentar inadvertidamente o potencial de um incidente de segurança. Risco desejável não é o mesmo que risco positivo. Mesmo que ele ocorra na busca por um ganho, o risco desejável está focado no potencial de perda.

Até recentemente, a segurança cibernética considerava apenas o risco negativo, e a definição de risco se concentrava em um possível resultado negativo. Os riscos positivos se concentram no resultado positivo potencial no início da identificação do risco. A exclusão do risco positivo resulta na falha em reconhecer os resultados positivos na segurança cibernética. Devido ao foco no risco negativo, os líderes executivos geralmente percebem que a segurança cibernética é reativa em vez de proativa e subestimam a contribuição da segurança cibernética para resultados comerciais positivos.

Este documento define o risco positivo para o setor de segurança cibernética e discute os benefícios e a importância de incluir riscos positivos em sua estratégia de segurança cibernética.