Se me ha pedido que realice una evaluación de riesgos para una empresa. El alcance abarca alrededor de 100 aplicaciones y en varias unidades de negocio. La tarea principal es evaluar los controles de seguridad implementados actualmente y proporcionar recomendaciones después de la evaluación. También proporcione recomendaciones sobre la prevención de fugas de datos del código fuente y otra información confidencial.
Lo enfoco como una evaluación de riesgos de seguridad a nivel organizacional utilizando un marco como el NIST CSF, mientras que mi colega piensa más en la evaluación de riesgos de la evaluación de riesgos del proceso SDLC / agile / devops, que en mi opinión no es seguridad Evaluación de riesgos, pero un proceso de evaluación de riesgos a nivel de proyecto. Todavía no he visto ninguna evaluación de riesgos de seguridad de las metodologías de desarrollo en términos de seguridad.
Quiero preguntar cuál es la forma correcta de abordar esta evaluación de riesgos?