Mi organización utiliza las Evaluaciones de riesgos como el catalizador de muchos de nuestros esfuerzos de Seguridad de la información. Actualmente evaluamos aplicaciones utilizando el marco y el cuestionario CAIQ de la alianza de seguridad en la nube. Sin embargo, aunque el 90% de lo que se evalúa se basa en la nube, creo que necesitamos otro conjunto de preguntas para los activos internos.
Pregunta: ¿Alguna vez ha trabajado alguien dentro de una organización que utiliza varios marcos que cambiarían entre el marco basado en el tipo de datos o especificaciones técnicas para completar una evaluación de riesgos?