Mi organización está considerando implementar un proceso interno de evaluación / gestión de riesgos de seguridad. Esto es en parte para satisfacer a los clientes y las auditorías de seguridad en parte para fomentar mejores prácticas, pero no tenemos requisitos para seguir los marcos existentes. Si me ayuda, me gustaría centrar la nuestra en TI, Personas y sistemas que tocan datos críticos o procesos empresariales.
He hablado con varios oficiales de seguridad y privacidad y he visto enfoques como:
- Subcontrate 100% a un consultor externo
- Realícese regularmente según la política utilizando un comité y los riesgos de catálogo a través de herramientas de software.
- Igual que el # 2 pero el catálogo a través de un grupo de documentos u hojas de cálculo.
Para aquellos que realizan evaluaciones de riesgo en casa: ¿cómo realiza el seguimiento y la gestión de este proceso? ¿Crees que herramientas especiales para ayudar a gestionar son una necesidad? ¿Cómo determina la lista de amenazas que enfrenta un recurso o sistema?
No incluiría esto en la pregunta para arriesgarme al tema, pero si actualmente utilizas alguna herramienta o recurso que sea útil, me encantaría conocerlo.