La mia organizzazione sta valutando l'implementazione di un processo interno di valutazione / gestione del rischio per la sicurezza. Questo è in parte per soddisfare i clienti e gli audit di sicurezza in parte per incoraggiare le migliori pratiche, ma non abbiamo requisiti per seguire qualsiasi quadro esistente. Se aiuta, vorrei concentrare la nostra attenzione su IT, persone e sistemi che toccano dati o processi aziendali critici.
Ho parlato con diversi Responsabili della privacy e della sicurezza e ho visto approcci come:
- Esternalizza il 100% a un consulente di terze parti
- Esegui regolarmente secondo le norme utilizzando i rischi di un comitato e di un catalogo tramite strumenti software.
- Come il numero 2 ma catalogo tramite un gruppo di documenti o fogli di calcolo.
Per coloro che eseguono valutazioni del rischio in casa: come monitorare e gestire questo processo? Pensi che gli strumenti speciali per aiutare a gestire siano una necessità? Come si determina l'elenco delle minacce di una risorsa o di un sistema?
Non includerei questo nella domanda per evitare argomenti, ma se attualmente usi strumenti o risorse utili mi piacerebbe sentirli.