Si utiliza la tríada de seguridad de confidencialidad, integridad y
disponibilidad, ¿son estos los únicos factores que definen la criticidad?
Si bien la tríada de la CIA es importante para nosotros como profesionales de la seguridad al definir varios criterios, la empresa a menudo define los niveles de severidad basados en $$$.
Hacen preguntas (desde una perspectiva empresarial) como:
- ¿Qué infraestructura / aplicaciones necesitamos para aceptar dinero?
de los clientes? (piense en sistemas POS)
- ¿Qué infraestructura / aplicaciones necesitamos para mover dinero? (piense en los sistemas de cable / ACH)
- ¿Cuánto dinero perdemos por día si la aplicación XYZ no está disponible?
- ¿Existen operaciones / procesos que se puedan completar manualmente (papel, bolígrafo) hasta que los sistemas vuelvan a estar en línea?
¿Cómo se calcula el costo de los riesgos asociados? Por ejemplo,
Si la empresa considera un conjunto determinado de activos como alto en toda la totalidad
tríada, ¿cómo se determina el impacto, los costos y los riesgos?
Aquí es donde su análisis cuantitativo y / o cualitativo entra en juego desde una perspectiva de riesgo.
A continuación hay algunos buenos enlaces que cubren la fórmula en detalle:
enlace
enlace