Ho bisogno di aiuto per capire cosa è richiesto dalla frase " un confronto dei costi relativi coinvolti nell'apportare modifiche alle attuali procedure di sicurezza organizzativa ".
Devo confrontare il costo di una violazione con il costo del miglioramento della sicurezza o Mi viene richiesto di confrontare il costo dei miglioramenti di sicurezza alternativi all'attuale sicurezza organizzativa procedura?
Né, ti viene chiesto di valutare i costi coinvolti nell'apportare modifiche alle procedure. Questo è tutto ciò che dice la tua citazione. Generalmente quei costi saranno i costi delle persone. In sicurezza ciò può significare quanto più sforzo è fare le cose giuste quando si costruisce un server o si esegue il patching. Potrebbe significare quanto costerà avere una risposta al problema 24 ore su 24, 7 giorni su 7.
Per prima cosa è necessario eseguire un'analisi delle lacune tra la procedura corrente e le procedure necessarie per soddisfare gli obiettivi di politica e sicurezza, quindi eseguire un'analisi su ciò che sarà necessario per modificare le procedure. Potrebbero volerlo rispetto al costo potenziale di una violazione o al costo della perdita di conformità, ecc.
Leggi altre domande sui tag authentication access-control threat-mitigation