Hmmm. Creo que estoy un poco preocupado por la forma en que su empresa piensa acerca de qué lado de la línea crítica frente a la no menos crítica aquí. Porque (por la forma en que lo pones) parece que se está aplicando un enfoque supuestamente "tradicionalista", centrado en el equipo tangible, centrado en la ubicación para determinar qué es y qué no es crítico en términos de potencial de riesgo. mi opinión, (sí, un ligero toque de opinión se está filtrando aquí, tal vez) es una tendencia que desea corregir desde el principio.
En realidad, hay dos tipos de cosas * que debe proteger en la categoría crítica: información crítica y sistemas críticos . Para decirlo brevemente pero con torpeza, lo importante de la información crítica es que la información no solo existe o se mueve a "donde se supone que debe estar". No hay manera de que pueda decir simplemente: "¡Toda la información crítica en cualquier lugar de nuestras redes, ingrese a nuestro centro de datos, ahora!" y haz que funcione. Debe salir y encontrar información / datos vitales que son sumamente importantes y que su empresa debe proteger absolutamente. Tiene que ir a donde se crea dentro de su empresa o donde entra en su empresa y ver dónde está. Necesitas ver a quién fluye y hacia dónde. Y luego vea dónde termina finalmente y se almacena (probablemente ese centro de datos, finalmente). Y luego, una vez que determine qué es la información crítica y dónde está y dónde fluye , entonces puede comenzar para hacer evaluación de riesgos y toda la diversión burocrática planificación y tal.
Pero primero necesitas salir al campo y averiguar dónde está realmente la información crítica. No solo diga primero las cosas en la Ubicación X porque Bueno, se supone que las cosas importantes están teóricamente ahí, y por lo tanto, todo está ahí. (Y eso no es particularmente un gran enfoque para tomar en esta era de el uso ubicuo de teléfonos inteligentes y el uso cada vez mayor de la nube, a veces con la aprobación previa de la administración centralizada y otras veces sin.)
En cuanto a los sistemas críticos, creo que gran parte del mismo análisis es válido. Cuidar los riesgos relacionados con los costosos servidores y equipos de red en su centro de datos es sin duda una buena opción. cosa necesaria para hacer, pero una persona razonable podría llegar a la conclusión de que analizar los riesgos relevantes para los teléfonos inteligentes de R & Los ejecutivos de D que se llevan a diario son aún más merecedores de ser etiquetados como "críticos".
De todos modos, mis dos centavos. Aclamaciones.