La situación es que soy un desarrollador de software que trabaja para esta empresa desde enero pasado y se me pidió que hiciera la seguridad de la información para mi unidad de negocios. No tengo mucha experiencia con info-Sec (sin embargo, siempre me interesó y tuve un certificado de seguridad +) y ahora tengo que hacer un análisis de riesgo basado en el análisis del año pasado (cuando no funcionó aquí todavía). La compañía es bastante nueva en el concepto de seguridad, por lo que el análisis anterior consiste en algunas amenazas, frecuencias e impactos. Lo que no hicieron el año pasado es nombrar controles para mitigar los riesgos.
Quiero determinar algunos controles para agregar este año, sin embargo, cuanto más leo / visualizo el tema, más me falta información vital para hacerlo.
Por ejemplo: el curso Managing Information Amenazas de seguridad y amp; Los riesgos (ISO / IEC 27002) mencionan la necesidad de saber qué información existe, quiénes son sus propietarios y cuál es el valor de esa información para que pueda comenzar a estimar la pérdida potencial cuando ocurra una amenaza. Además de esto, necesita saber cuál es el Factor de exposición para poder calcular el LES. Sin él, siento que ni siquiera puedo comenzar a nombrar controles para aplicar a amenazas / riesgos.
¿Cómo puede una persona en mi posición obtener toda esta información?