¿Cómo compara los riesgos de sus sitios web, perímetro físico, personal, etc.?

10

Al asignar el presupuesto de forma racional, es decir, proporcionalmente al riesgo en un área en particular, ¿cómo puede calcular los riesgos relativos?

Puedo pensar en ejemplos en los que los clientes míos han asegurado sus sitios web muy bien, pero no tienen seguridad en la puerta de entrada y no se han examinado contratistas; esto parece una locura, pero generalmente se reduce al hecho de que no tienen forma de comparar riesgos.

Las respuestas pueden ser cuantitativas o cualitativas, pero solo me interesa saber cómo se hace esto en las organizaciones que conoce.

    
pregunta Rory Alsop 05.05.2011 - 14:39
fuente

2 respuestas

12

Estoy seguro de que hay muchos procesos: el término general a buscar es "análisis de riesgo" o "evaluación de riesgo". El proceso con el que estoy más familiarizado es lo que recomienda NIST .

En general, el proceso NIST:

  • ¿Cuál es tu sistema? ¿Qué cuenta como parte de tu sistema y no como parte de tu sistema?

  • ¿Cuáles son tus amenazas? ¿Qué grupos o personas, qué buscan, cuáles son sus recursos?

  • ¿cuáles son tus vulnerabilidades? ¿Qué puede ser explotado por una de estas amenazas?

  • ¿Qué tienes ya protegiendo tus vulnerabilidades? ¿Qué tan efectivo es?

  • qué tan probable es que su vulnerabilidad sea explotada por una amenaza, a pesar de sus controles.

  • ¿Cuál es el impacto si se explota la vulnerabilidad? cuanto perderas Tanto en activos, como en la capacidad de ganar dinero en el futuro, o daños a la reputación

  • combina probabilidad e impacto, si ambos son altos, esta es tu lista DEBE HACER. Si ambos son bajos, tienes candidatos para cosas a diferir.

  • investigue nuevas protecciones: equilibre el costo de la protección frente al costo de la explotación de la vulnerabilidad para ver si vale la pena pagar el dinero.

Prepare un plan para las protecciones en las que gastará dinero ahora. Tenga en cuenta que hay otras opciones más allá de detener la explotación, por ejemplo, y una póliza de seguro para evitar pérdidas.

    
respondido por el bethlakshmi 05.05.2011 - 19:50
fuente
10

Si no está familiarizado con esto, FAIR (un marco de riesgo cuantitativo) debe proporcionar a una organización las herramientas para hacerlo.
Desde el sitio web:

  

El análisis factorial del riesgo de información (FAIR) proporciona un marco para comprender, analizar y medir el riesgo de información. Los resultados son una gestión de riesgos de la información más rentable, una mayor credibilidad para la profesión de seguridad de la información y una base desde la cual desarrollar un enfoque científico para la gestión de riesgos de la información.

     

FAIR permite a las organizaciones:

     
  • Habla en un idioma con respecto a su riesgo
  •   
  • Ser capaz de estudiar y aplicar riesgos de forma consistente a cualquier objeto o activo
  •   
  • Ver el riesgo organizacional en total
  •   
  • Defender o cuestionar la determinación de riesgos utilizando un marco de análisis avanzado
  •   
  • Comprenda cómo el tiempo y el dinero afectarán su perfil de seguridad
  •   

En resumen, utilizando FAIR, puede producir un "número" de riesgo, que puede ser un valor en dólares (o libras) para el riesgo.
Esto puede luego "compararse" objetivamente con otros riesgos, en una escala igual, en lugar de comparar manzanas y naranjas (o más comúnmente, manzanas y púrpura).

Tenga en cuenta también que esto no se aplica solo a riesgos técnicos o informáticos ...

    
respondido por el AviD 05.05.2011 - 15:07
fuente

Lea otras preguntas en las etiquetas