CIS RAM (Método de Avaliação de Risco)

O Center for Internet Security (CIS) lançou recentemente o Método de Avaliação de Risco CIS (RAM) v2.0 (Risk Assessment Method (RAM) v2.0)

O CIS RAM (Center for Internet Security Risk Assessment Method) é um método de avaliação de risco de segurança da informação que ajuda as organizações a implementarem e avaliarem sua postura de segurança em relação às melhores práticas de segurança cibernética do CIS Critical Security Controls (CIS Controls).

Avaliar riscos cibernéticos sem um direcionamento se torna muito difícil se você não souber por onde começar.

O CIS RAM vai ajudar na tomada de decisões e na implementação de controles para a sua organização.

CIS RAM Princípios e Práticas

Princípios

1. A análise de risco deve considerar os interesses de todas as partes que podem ser prejudicadas pelo risco.
2. Os riscos devem ser reduzidos a um nível que não exija uma solução para nenhuma das partes.
3. As salvaguardas não devem ser mais onerosas do que os riscos contra os quais protegem.

Práticas

1. A análise de risco considera a probabilidade de que as ameaças possam criar magnitudes de impacto.
2. Os limites de tolerância são declarados em linguagem simples e são aplicados a cada fator em uma análise de risco.
3. As pontuações de impacto e probabilidade têm um componente qualitativo que declara de forma concisa as preocupações das partes interessadas, autoridades e organização avaliadora.
4. As pontuações de impacto e probabilidade são derivadas de um cálculo quantitativo que permite a comparabilidade entre todos os riscos avaliados, salvaguardas e critérios de aceitação de risco.
5. As definições de impacto asseguram que a magnitude do dano a uma parte seja equiparada à magnitude do dano a outras.
6. As definições de impacto devem ter um limite explícito entre aquelas magnitudes que seriam aceitáveis ​​para todas as partes e aquelas que não seriam.
7. Endereço de definições de impacto; a missão ou utilidade da organização para explicar por que a organização e outros se envolvem em risco, os objetivos de interesse próprio da organização e as obrigações da organização de proteger os outros de danos.
8. A análise de risco depende de um padrão de cuidado para analisar os controles atuais e as salvaguardas recomendadas.
9. O risco é analisado por especialistas no assunto que usam evidências para avaliar riscos e salvaguardas.
10. As avaliações de risco não podem avaliar todos os riscos previsíveis. Portanto, as avaliações de risco ocorrem novamente para identificar e abordar mais riscos ao longo do tempo.

Faça o download aqui .