La situazione è che io sono uno sviluppatore di software che lavora per questa azienda dallo scorso gennaio e mi è stato chiesto di garantire la sicurezza delle informazioni per la mia unità aziendale. Non ho molta esperienza con info-Sec (tuttavia, ho sempre avuto un interesse in esso e ho tenuto un security + cert) e ora devo fare un'analisi dei rischi basata sull'analisi dello scorso anno (quando non ha funzionato ancora qui). La società è abbastanza nuova rispetto al concetto di sicurezza, quindi l'analisi precedente consiste in alcune minacce, frequenze e impatti. Quello che non hanno fatto l'anno scorso è nominare qualsiasi controllo per mitigare i rischi.
Voglio determinare alcuni controlli da aggiungere quest'anno, tuttavia più leggo / visualizzo nell'oggetto più vedo che mi mancano informazioni vitali per farlo.
Ad esempio: il corso Gestione delle informazioni Minacce alla sicurezza e amp; I rischi (ISO / IEC 27002) menzionano la necessità di sapere quali informazioni sono disponibili, chi sono i loro proprietari e qual è il valore di tali informazioni in modo da poter iniziare a stimare la perdita potenziale quando si verifica una minaccia. Oltre a questo è necessario sapere che fattore di esposizione è in grado di calcolare SLE. Senza di esso, sento che non posso nemmeno iniziare a nominare i controlli da applicare a minacce / rischi.
In che modo qualcuno nella mia posizione può ottenere tutte queste informazioni?