Per questo motivo TVRA è solo collegato alla sicurezza?
Può essere utilizzato per valutare, valutare tutte le situazioni e da lì, elaborare misure di controllo?
Per questo motivo TVRA è solo collegato alla sicurezza?
Può essere utilizzato per valutare, valutare tutte le situazioni e da lì, elaborare misure di controllo?
Sì, può e viene effettivamente utilizzato per situazioni / vulnerabilità non tecniche.
Puoi fare qualcosa con TVRA come procedura multi-strato. Ci sono aziende che lo fanno più a fondo (coprendo ogni categoria / livello), altri lo fanno tanto quanto giustificano i costi, il tempo assegnato e l'urgenza di esso (per esempio se è necessario per le normative).
La maggior parte delle aziende lo fa dal punto di vista del business, non dal punto di vista della sicurezza informatica, anche se il controllo misurato che verrà definito sarà tecnico. Quindi prendono in considerazione tutto da chi ha accesso all'edificio, possibili problemi di autenticazione del software, errori umani non tecnici e così via fino a chi potrebbe rubare fondi e come. Come hai detto, ogni situazione a cui possono pensare, non le minacce alla sicurezza informatica che si applicano. Penso che questo sia il solito approccio. Tu pensi quali sono le tue risorse (dal punto di vista del business, ancora una volta, e poi, per ognuna di esse, puoi pensare a cosa può andare storto nel tuo processo in modo tale da incidere su quel bene in ogni modo che potrebbe essere influenzato.
Ci sono anche altre aziende, di solito con più risorse, che preferiscono andare il più a fondo possibile e avere un documento diverso per ogni livello, sia tecnico che non tecnico, come un documento per la sicurezza fisica, uno per la sicurezza delle applicazioni , uno per la sicurezza della rete e così via.
Leggi altre domande sui tag risk-management vulnerability risk-analysis threat-mitigation threats