Estoy en el proceso de definir una metodología de evaluación de riesgos para una empresa que quisiera estar alineada con la norma ISO 27001. La norma establece claramente que el objetivo es la protección de la CIA (confidencialidad, integridad, disponibilidad).
¿Tengo en mi metodología de riesgos el puntaje de las consecuencias para cada activo / proceso en comparación con la confidencialidad, integridad y disponibilidad por separado o es suficiente para otorgar un puntaje único para cada activo / proceso? En la mayoría de las herramientas aprobadas tengo el tratamiento de un solo puntaje por las consecuencias.
¿Está NO puntuando las consecuencias de forma independiente para cada uno de los miembros de la CIA? ¿El enfoque correcto?