Ho sentito parlare di FAIR , e questo sembra piuttosto grandioso.
Quali altre metodologie ci sono? Come funzionano?
Quali sono i loro benefici e i loro svantaggi rispetto agli altri?
Quando è appropriato?
La deferenza fondamentale tra le due metodologie è che GAIT è qualitativo mentre FAIR è quantitativo. In conclusione, GAIT è un altro di quei metodi come SAS70, SOX, Cobit e il resto che finirà per essere un esercizio di checklist che non dirà nulla sulla tua sicurezza o quale sia il valore monetario del tuo rischio IT.
Suggerisco di leggere il libro Metriche di gestione della sicurezza delle informazioni di Krag Brotby per la copertura della maggior parte dei quadri di analisi del rischio pertinenti solitamente adattati a un tipo specifico di rischio (ad esempio, analisi finanziarie per programmi di gestione della sicurezza delle informazioni o programmi di gestione del rischio potrebbero utilizzare ROSI, ALE / SLE, VAR, costo-efficacia, ecc.)
Suggerisco anche di guardare FISAP e IIA GAIT
Leggi altre domande sui tag risk-management risk-analysis business-risk