La mia organizzazione utilizza le valutazioni del rischio come catalizzatore di molti dei nostri sforzi per la sicurezza delle informazioni. Attualmente valutiamo le applicazioni utilizzando il framework e il questionario CAIQ di Cloud Security Alliance. Tuttavia, mentre il 90% di ciò che viene valutato è basato sul cloud, penso che abbiamo bisogno di un'altra serie di domande per le risorse interne.
Domanda: qualcuno ha mai lavorato all'interno di un'organizzazione che utilizza più framework che passerebbe dal framework basato sul tipo di dati o specifiche tecniche al fine di completare una valutazione del rischio?