Qual è il modo migliore per ottenere le informazioni mancanti utilizzate per l'analisi dei rischi

1

La situazione è che io sono uno sviluppatore di software che lavora per questa azienda dallo scorso gennaio e mi è stato chiesto di garantire la sicurezza delle informazioni per la mia unità aziendale. Non ho molta esperienza con info-Sec (tuttavia, ho sempre avuto un interesse in esso e ho tenuto un security + cert) e ora devo fare un'analisi dei rischi basata sull'analisi dello scorso anno (quando non ha funzionato ancora qui). La società è abbastanza nuova rispetto al concetto di sicurezza, quindi l'analisi precedente consiste in alcune minacce, frequenze e impatti. Quello che non hanno fatto l'anno scorso è nominare qualsiasi controllo per mitigare i rischi.

Voglio determinare alcuni controlli da aggiungere quest'anno, tuttavia più leggo / visualizzo nell'oggetto più vedo che mi mancano informazioni vitali per farlo.

Ad esempio: il corso Gestione delle informazioni Minacce alla sicurezza e amp; I rischi (ISO / IEC 27002) menzionano la necessità di sapere quali informazioni sono disponibili, chi sono i loro proprietari e qual è il valore di tali informazioni in modo da poter iniziare a stimare la perdita potenziale quando si verifica una minaccia. Oltre a questo è necessario sapere che fattore di esposizione è in grado di calcolare SLE. Senza di esso, sento che non posso nemmeno iniziare a nominare i controlli da applicare a minacce / rischi.

In che modo qualcuno nella mia posizione può ottenere tutte queste informazioni?

    
posta Ytrog 30.05.2016 - 09:04
fonte

1 risposta

0

Devi affidarti al tuo manager immediato e spiegargli che la sicurezza è una questione di costi / benefici. Come nella vita reale: metti un semplice lucchetto nella tua casetta da giardino, una porta robusta e una manopola migliore per la casa delle ore e metti i tuoi valori migliori in una cassastrong.

Non utilizzeresti una banca sicura per conservare i semi del prato, ma non dovresti mettere i valori in un capanno da giardino. La sicurezza delle informazioni non è diversa. Se non sei sicuro che le porte e le finestre siano state chiuse correttamente, puoi sempre iniziare da lì: identifica le buone pratiche di sicurezza comuni e semplici che non sono in uso nella tua azienda e le hai applicate. Ma per andare oltre, devi sapere che cosa è vitale per l'azienda e hai bisogno di una protezione più elevata.

L'analogia della vita reale è spesso più facile da capire per i senior manager che non sono specialisti IT. Non cercare di indovinare te stesso e non provare a rubare informazioni da altri servizi, basta usare il percorso gerarchico e lasciare che le persone giuste assumano le proprie responsabilità.

    
risposta data 30.05.2016 - 10:58
fonte

Leggi altre domande sui tag