He oído hablar de FAIR , y eso parece bastante bueno.
¿Qué otras metodologías hay? ¿Cómo funcionan?
¿Cuáles son sus beneficios y sus inconvenientes en comparación con otros?
¿Cuándo es apropiado cada uno?
La deferencia fundamental entre las dos metodologías es que GAIT es cualitativo, mientras que FAIR es cuantitativo. En pocas palabras, GAIT es otro de esos métodos, como SAS70, SOX, Cobit y el resto, que terminará siendo un ejercicio de lista de verificación que no le dirá nada sobre su seguridad o cuál es el valor monetario de su riesgo de TI.
Sugiero leer el libro de métricas de gestión de la seguridad de la información de Krag Brotby para obtener información sobre la mayoría de los marcos de análisis de riesgos relevantes que generalmente se adaptan a un tipo específico de riesgo (por ejemplo, el análisis financiero para programas de gestión de seguridad de la información o programas de gestión de riesgos podrían utilizar ROSI). ALE / SLE, VAR, rentabilidad, etc.).
También sugiero mirar FISAP y IIA GAIT
+1 para GAIT . Definitivamente recomiendo un buen vistazo!
Lea otras preguntas en las etiquetas risk-management risk-analysis business-risk