Ho sentito parlare di FAIR e sembra davvero fantastico.
Quali altre metodologie esistono? Come funzionano?
Quali sono i loro vantaggi e i loro svantaggi rispetto ad altri?
Quando è appropriato ciascuno?
Suggerisco di leggere il libro Metriche di gestione della sicurezza delle informazioni di Krag Brotby per la copertura della maggior parte dei framework di analisi dei rischi pertinenti che di solito sono personalizzati per un tipo specifico di rischio (ad es. l'analisi finanziaria per i programmi di gestione della sicurezza delle informazioni o i programmi di gestione del rischio potrebbero utilizzare ROSI, ALE / SLE, VAR, rapporto qualità-prezzo, ecc.).
Suggerisco anche di guardare FISAP e IIA GAIT
La deferenza fondamentale tra le due metodologie è che GAIT è qualitativo mentre FAIR è quantitativo. In conclusione, GAIT è un altro di quei metodi come SAS70, SOX, Cobit e il resto che finirà per essere un esercizio di lista di controllo che non ti dirà nulla sulla tua sicurezza o qual è il valore monetario del tuo rischio IT.
+1 per GAIT. Consiglio vivamente una buona occhiata!