Estoy identificando los activos de la organización para una evaluación de riesgos de seguridad cibernética. Estoy buscando guías o las mejores prácticas de la industria para conocer qué detalles de activos son realmente útiles para el procedimiento de evaluación de riesgos.
Podemos obtener fácilmente mucha información sobre los activos de hardware y software ejecutando scripts. Lo guardaremos todo, porque nunca sabemos lo que podríamos necesitar. Sin embargo, en el ámbito de una evaluación de riesgos de seguridad cibernética, parte de ella no será útil. Por ejemplo: entiendo que las direcciones IP del servidor son importantes para la seguridad, pero el fabricante de la placa base y el nombre del modelo no lo son tanto.
¿Existe un conjunto concreto de detalles de activos que sean más relevantes para un informe de activos para una discusión de evaluación de riesgos de seguridad?
O, equivalentemente,
¿Hay un conjunto de detalles de activos que son "demasiado" y que se pueden omitir de forma segura en el informe de activos?