In der Vergangenheit basierten Entscheidungen im Cyber-Risikomanagement auf qualitativen Bewertungen mithilfe von Ordinalskalen (z. B. Rot, Gelb, Grün, Hoch, Mittel, Niedrig usw.). Dieser Ansatz wurde vor allem deshalb verwendet, weil es in der Branche an einer klaren Ontologie und einheitlichen Nomenklatur zur Risikobewertung mangelte. Es herrschte auch die (wenn auch falsche) Meinung vor, dass nicht genügend Daten für quantitative Analysen vorhanden seien.
Der Vorteil qualitativer Risikobewertungen besteht darin, dass sie nahezu sofort durchgeführt werden können. Mögliche Nachteile sind jedoch:
• Ungenauigkeit in der Analyse – der Mangel an Präzision, expliziten Messaktivitäten oder formalen Modellen erhöht die Wahrscheinlichkeit, dass Risikobewertungen ungenau sind.
• Ungenauigkeit bei der Priorisierung – die Verwendung einer dreistufigen (oder manchmal fünfstufigen) Ordinalskala zur Zuweisung der relativen Bedeutung von Cyber-Risiken ermöglicht keine effektive Priorisierung der Probleme innerhalb der einzelnen Stufen.
Mit dem Aufkommen der Faktorenanalyse von Informationsrisiken (FAIR) wurden Probleme im Zusammenhang mit Ontologie und Nomenklatur überwunden. In Kombination mit bewährten Methoden (z. B. kalibrierter Schätzung) zur effektiven Nutzung auch spärlicher Daten sowie Monte-Carlo- und anderen stochastischen Methoden sind Unternehmen nun in der Lage, echte quantitative Analysen des Cyberrisikos durchzuführen.