Se non hai familiarità con questo, FAIR (un quadro di rischio quantitativo) dovrebbe dare a un'organizzazione gli strumenti per farlo.
Dal sito web:
Factor Analysis of Information Risk (FAIR) provides a framework for understanding, analyzing, and measuring information risk. The outcomes are more cost-effective information risk management, greater credibility for the information security profession, and a foundation from which to develop a scientific approach to information risk management.
FAIR allows organizations to:
- Speak in one language concerning their risk
- Be able to consistently study and apply risk to any object or asset
- View organizational risk in total
- Defend or challenge risk determination using an advanced analysis framework
- Understand how time and money will impact their security profile
In breve, usando FAIR puoi produrre un "numero" di rischio, che può essere un valore in dollari (o sterline) per il rischio.
Questo può quindi essere "paragonato" oggettivamente ad altri rischi, su una scala uguale - al contrario del confronto tra mele e arance (o più comunemente, mele e viola).
Nota anche che questo non si applica solo ai rischi tecnici o informatici ....