¿De hecho, TVRA solo está vinculado a la seguridad?
¿Se puede utilizar para evaluar, evaluar toda o cualquier situación y, a partir de ahí, establecer medidas de control?
¿De hecho, TVRA solo está vinculado a la seguridad?
¿Se puede utilizar para evaluar, evaluar toda o cualquier situación y, a partir de ahí, establecer medidas de control?
Sí, puede y realmente se usa para situaciones no técnicas / vulnerabilidades.
Se puede pensar en TVRA como un procedimiento multicapa. Hay compañías que hacen esto más a fondo (que cubren cada categoría / capa), otras lo hacen tanto como justifica los costos, el tiempo asignado y la urgencia del mismo (por ejemplo, si es necesario para las regulaciones).
La mayoría de las empresas hacen esto desde el punto de vista empresarial, no desde el punto de vista de seguridad cibernética, incluso si el control medido que se definirá será técnico. Así que tienen en cuenta todo, desde quién tiene acceso al edificio, los posibles problemas de autenticación del software, los errores humanos no técnicos, etc., hasta quién podría robar fondos y cómo. Como ha dicho, se puede pensar en cada situación, no en las amenazas de seguridad cibernética. Creo que este es el enfoque habitual. Piensas cuáles son tus activos (desde el punto de vista del negocio, otra vez; y luego, para cada uno de ellos, puedes pensar qué puede salir mal en tu proceso para que afecte a ese activo en cada forma en que pueda verse afectado.)
También hay otras compañías, generalmente con más recursos, que prefieren profundizar lo más posible y tener un documento diferente para cada capa, tanto técnica como no técnica, como un documento para seguridad física, uno para seguridad de aplicaciones. , uno para la seguridad de la red y así sucesivamente.
Lea otras preguntas en las etiquetas risk-management vulnerability risk-analysis threat-mitigation threats