Actualmente, estoy obligado a realizar una evaluación de riesgos de seguridad de la información para una asignación, utilizando la norma ISO 27005: 2011, para la violación de datos de Equifax que ocurrió en 2017, enlace
Lo que he recopilado del capítulo 8 del documento 27005 hasta ahora es que el proceso de evaluación de riesgos generalmente se divide en tres secciones. Primero, la identificación del riesgo seguida del análisis del riesgo y la evaluación del riesgo.
Actualmente estoy trabajando en la sección de identificación de riesgos y agradecería cualquier ayuda con métodos o técnicas que pueda usar para identificar adecuadamente algunos activos, amenazas, vulnerabilidades y controles relevantes para el incidente anterior o más generalmente. (No estoy buscando los artículos reales, solo ideas sobre qué buscar en los artículos relacionados con el incidente)