Historisch gezien werden cyberrisicomanagement beslissingen aangestuurd door kwalitatieve beoordelingen met behulp van ordinale schalen (bijv. rood, geel, groen, hoog, gemiddeld, laag, enz.). Deze benadering is grotendeels gebruikt omdat het beroep een duidelijke ontologie en consistente nomenclatuur voor het evalueren van risico's ontbeerde. Er was ook een heersende (hoewel onjuiste) overtuiging dat er niet genoeg gegevens waren om kwantitatieve analyses uit te voeren.
Het voordeel van kwalitatieve risicobeoordelingen is dat ze bijna onmiddellijk kunnen worden bereikt. De mogelijke nadelen zijn echter:
• Onnauwkeurigheid in analyse- het ontbreken van nauwkeurigheid, expliciete meetactiviteiten of formele modellen vergroot de kans dat risicobeoordelingen niet nauwkeurig zijn.
• Onnauwkeurigheid in prioriteitstelling- het gebruik van een ordinale schaal met drie niveaus (of soms vijf niveaus) als middel om relatieve betekenis toe te kennen aan cyberrisicoproblemen, maakt geen effectieve prioritering van problemen binnen elk niveau mogelijk.
Met de komst van Factor Analysis of Information Risk (FAIR) zijn problemen met betrekking tot ontologie en nomenclatuur overwonnen. Gecombineerd met goed gevestigde methoden (bijv. gekalibreerde schatting) voor het effectief benutten van zelfs schaarse gegevens, en Monte Carlo en andere stochastische methoden, zijn organisaties nu in staat om echte kwantitatieve analyses van cyberrisico's uit te voeren.
Checkout this paper: