If using the security triad of confidentiality, integrity and
availability, are these the only factors that define criticality?
Mentre la triade della CIA è importante per noi professionisti della sicurezza quando si definiscono vari criteri, l'azienda spesso definisce livelli di gravità basati su $$$.
Fanno domande (dal punto di vista del business) come:
- Quali infrastrutture / applicazioni abbiamo bisogno per accettare denaro
dai clienti? (pensa ai sistemi POS)
- Quali infrastrutture / applicazioni abbiamo bisogno di spostare denaro? (pensa a sistemi filo / ACH)
- Quanto denaro perdiamo al giorno se l'applicazione XYZ non è disponibile?
- Ci sono operazioni / processi che possono essere completati manualmente (carta, penna) fino a quando i sistemi sono di nuovo online?
How does one calculate the cost of the associated risks? For example,
if the business deems a given set of assets as high across the entire
triad, how does one determine the impact, costs and risks?
È qui che entra in gioco l'analisi quantitativa e / o qualitativa dal punto di vista del rischio.
Di seguito sono riportati alcuni link validi che trattano la formula in dettaglio:
link
link