网络安全中的正面风险

Greg Bell，Amazon Web Services（AWS）

2022 年 5 月（文档历史记录）

大多数人从负面的角度来看待风险，例如遭受损失，或是管理不良事件。但是，国际标准化组织（ISO）对风险的定义是“不确定性对目标的影响”。在这种情况下，影响可能是正面的，也可以是负面的。

实际风险可能因行业而异，但该标准定义适用于所有行业，每个行业都有负面和正面风险。在网络安全行业，负面风险指潜在损失，正面风险指资产、知识、改进或数据的潜在收益。

项目管理和 IT 领域采用了评估业务报告和业务决策中的正面风险的策略。但是，网络安全行业尚未将其作为一种常见做法，许多风险管理方法继续将重点放在负面风险上。即使涉及到了积极风险，也不过是浅尝辄止。

传统而言，网络安全领域是完全从负面视角来看待风险的。以下是网络安全中两种常见的负面风险类型：

• 下行风险 — 外部因素风险（例如威胁）造成的损失。例如，网络犯罪分子可能会引入或增加发生安全事件的可能性。

• 上行风险 — 在追求收益的同时面临损失风险，例如因变化而产生的脆弱性漏洞。例如，在实施 IT 策略时，您可能会无意中增加发生安全事件的可能性。上行风险与正面风险不同。尽管它是在追求收益时发生的，但上行风险集中在亏损的可能性上。

直到最近，网络安全还只考虑负面风险，而风险的定义则一直侧重于潜在的负面后果。正面风险侧重于在刚刚发现风险时的潜在正面成果。排除正面风险会导致无法识别网络安全方面的正面成果。由于对负面风险的关注，高管领导层通常认为网络安全是被动的，而不是主动的，并且低估了网络安全对正面业务成果的贡献。

本文档定义了网络安全行业的正面风险，并讨论了在网络安全战略中纳入正面风险的好处和重要性。