Entiendo el concepto de clasificar nuestros datos y asociar los grados de riesgo con diferentes clases de datos. Mi pregunta es la siguiente: ¿existe un precedente para clasificar a los usuarios de la misma manera? Específicamente, ¿existe un estándar (como NIST o algún otro) que sugiera clasificar a los usuarios y el riesgo asociado con ellos de la misma manera que lo haría con los datos?
No creo que haya estándares comunes que se centren en asignar niveles de riesgo específicamente a los usuarios, pero ciertamente hay elementos de esta tarea en casi todas las metodologías de administración de riesgos. En primer lugar, desea centrarse en los actores de las amenazas y en las secciones de impacto, ya que esencialmente está buscando producir una evaluación de riesgos basada en el acceso que tiene un usuario, qué motivación podrían tener para ser maliciosos y cuál es el impacto de los mismos que compromete los datos. sus sistemas podrían ser.
Personalmente, empezaría con la OWASP Risk Rating Methodology , centrada principalmente en la sección del actor de amenazas y Secciones técnicas / factores de impacto empresarial. También debe echar un vistazo a la sección Lecturas adicionales de este artículo , que le dará muchas opciones para elegir. a partir de métodos alternativos de clasificación de riesgos.
Lea otras preguntas en las etiquetas risk