As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Perguntas frequentes
<a name="faq"></a>

## Qual é a diferença entre risco bom e risco positivo?
<a name="upside-vs-positive"></a>

Ainda que os termos *risco desejável* e *risco positivo* soem semelhantes, na verdade eles são conceitos muito diferentes. Dentro do risco, há um resultado positivo ou negativo, e entre os resultados negativos, há um lado bom ou um lado ruim.

*Risco positivo* é o ganho potencial de ativos, conhecimento, melhorias ou dados. Por exemplo, você implementa rapidamente o gerenciamento de patches e um processo para remover vulnerabilidades, por exemplo, em uma semana. Ao longo do ano seguinte, não haverá incidentes de segurança.

*Risco desejável* é a exposição à perda durante a busca por um ganho. Por exemplo, a empresa implementa uma nova aplicação, enquanto você implementa rapidamente o gerenciamento de patches e um processo para remover vulnerabilidades, por exemplo, em uma semana. A exposição à perda (o período de tempo em que você remove as vulnerabilidades) ocorre em busca de um ganho (uma aplicação mais seguro), portanto, isso é considerado um risco desejável. É possível aumentar o risco desejável alterando o processo para remover vulnerabilidades para um dia ou diminuir o risco desejável alterando esse período para um mês. Basicamente, o risco desejável é a possibilidade incerta de ganho ao tentar minimizar uma perda. 

## Por que é importante incluir riscos positivos na segurança cibernética?
<a name="why-important"></a>

A integração de riscos positivos nas avaliações e conversas de risco de segurança cibernética ajuda a promover o valor da segurança cibernética para os negócios. Para obter mais informações, consulte [Benefícios do risco positivo](benefits.md).