Si no está familiarizado con esto, FAIR (un marco de riesgo cuantitativo) debe proporcionar a una organización las herramientas para hacerlo.
Desde el sitio web:
El análisis factorial del riesgo de información (FAIR) proporciona un marco para comprender, analizar y medir el riesgo de información. Los resultados son una gestión de riesgos de la información más rentable, una mayor credibilidad para la profesión de seguridad de la información y una base desde la cual desarrollar un enfoque científico para la gestión de riesgos de la información.
FAIR permite a las organizaciones:
- Habla en un idioma con respecto a su riesgo
- Ser capaz de estudiar y aplicar riesgos de forma consistente a cualquier objeto o activo
- Ver el riesgo organizacional en total
- Defender o cuestionar la determinación de riesgos utilizando un marco de análisis avanzado
- Comprenda cómo el tiempo y el dinero afectarán su perfil de seguridad
En resumen, utilizando FAIR, puede producir un "número" de riesgo, que puede ser un valor en dólares (o libras) para el riesgo.
Esto puede luego "compararse" objetivamente con otros riesgos, en una escala igual, en lugar de comparar manzanas y naranjas (o más comúnmente, manzanas y púrpura).
Tenga en cuenta también que esto no se aplica solo a riesgos técnicos o informáticos ...