View a markdown version of this page

網路安全的正面風險 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

網路安全的正面風險

Greg Bell,Amazon Web Services (AWS)

2022 年 5 月 (文件歷史記錄)

大多數人從負面角度看待風險,例如面臨損失或管理不良事件。然而,國際標準化組織 (ISO) 對風險的定義是「不確定性對目標的影響」。在這種情況下,影響可能是正面的,也可能是負面的。

實際風險可能因產業而異,但此標準定義適用於所有產業,並且每個產業都有負面和正面風險。在網路安全產業中,負面風險是指潛在損失,正面風險是指資產、知識、改進或資料的潛在收益。

專案管理和 IT 領域已採用評估業務報告和業務決策中正面風險的策略。但是,網路安全產業尚未將其作為一種常見做法,許多風險管理方法繼續關注負面風險。如果他們討論正面風險,那只是簡短的。

傳統上,網路安全只從負面角度來看待風險。以下是網路安全中常見的兩種負面風險類型:

  • 下行風險 – 外部因素導致的損失,例如威脅。例如,網路犯罪分子可能會引入或增加安全事件的可能性。

  • 上行風險 – 在追求收益的同時面臨損失,例如由於變化而導致的漏洞。例如,在實施 IT 策略時,可能會無意中增加發生安全事件的可能性。上行風險與正面風險不一樣。儘管它發生在追求收益的過程中,但上行風險也集中在潛在的損失上。

直到最近,網路安全只考慮負面風險,風險的定義集中在潛在的負面結果上。正面風險在識別風險之初就關注潛在的積極結果。排除正面風險會導致無法識別網路安全的積極結果。由於專注於負面風險,高管層通常認為網路安全是被動的,而不是主動的,並低估了網路安全對積極業務成果的貢獻。

本文件定義了網路安全產業的正面風險,並討論在網路安全策略中納入正面風險的好處和重要性。