Willkommen bei Scribd!

Karussell überspringen

Information Security Governance and Risk

Hochgeladen von

Sakil Mahmud

0% fanden dieses Dokument nützlich (0 Abstimmungen)

25 Ansichten26 Seiten

Originaltitel

Information Security Governance and Risk.ppt

Copyright

Verfügbare Formate

PPTX, PDF, TXT oder online auf Scribd lesen

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Dieses Dokument melden

Copyright:

Verfügbare Formate

Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

0% fanden dieses Dokument nützlich (0 Abstimmungen)

25 Ansichten26 Seiten

Information Security Governance and Risk

Hochgeladen von

Sakil Mahmud

Copyright:

Verfügbare Formate

Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

Zu Seite

Sie sind auf Seite 1von 26

Im Dokument suchen

Information Security

Governance and Risk

Chapter 2
Part 2
Pages 69 to 100

Risk Management
Information risk management (IRM)
is the process of identifying and
assessing risk, reducing it to an
acceptable level, and implementing
the right mechanisms to maintain
that level.
There is no such thing as a 100%
secure environment.

Types of Risk
Page 71
Physical damage
Human interaction
Equipment malfunction
Inside and outside attacks
Misuse of data
Loss of data
Application error

Understanding Risk
Management
Businesses operate to make money
Risks threaten the bottom line
There is a finite amount of money to
address an almost infinite number of
vulnerabilities

Risk Management Team

Goal ensure the company is
protected in the most cost-effective
manner
Page 73
Includes individuals from many or all
departments to ensure all threats are
identified and addressed

Risk Assessment
Method of identifying vulnerabilities
and threats and assessing the impact
to determine whether to implement
security controls.
Table 2-5 on page 78

Risk Analysis
Cost/benefit
Integrate security program with
companys business objectives
Must be supported and directed by
senior management to be successful

Risk Analysis
1. What events could occur (threats)
2. What could be the potential impact
(risk)
3. How often could this happen
(frequency)
4. What is the level of confidence do
we have in the answers of the first
three questions (certainty)

Value of an Asset

Cost to repair or replace

Loss of productivity
Value of data that can be corrupted
Value to an adversary
Liability, civil suits, loss of market
share
Assets can be tangible or intangible
(reputation, intellectual property)

Use of Value of an Asset

Perform cost/benefit calculations
Specify countermeasures and
safeguards
Determine level of insurance to
purchase

Risk
Probability of a threat agent
exploiting a vulnerability to cause
harm to an asset and the resulting
business impact.

Risk Assessment
Methodologies
Identify Vulnerabilities, associate
threats, calculate risk values
NIST SP 800-30
FRAP
OCTAVE

NIST SP 800-30
U.S Federal Government Standard
Figure 2-9 on page 80

FRAP
Facilitated Risk Analysis Process
Data is gathered and threats to
business operations are prioritized
based on their criticality.
Documents controls that need to put
in place to reduce identified risk

OCTAVE
Carnegie Mellon University Software
Engineering Institute
People inside the organization
manage and direct the risk
evaluation

Risk Analysis Approaches

Quantitative
Assigning a numeric value

Qualitative
Red, Yellow, Green

Quantitative
SLE Single loss expectancy
EF Exposure Factor (percentage of
loss on an asset)
SLE = Asset Value * EF
SLE =$150,000*25% = $37,500

Quantitative
ARO annual rate of occurrence (0 to
1 or more, 0.1 = once in ten years)
ALE Annual loss expectancy
ALE = SLE * ARO
ALE = $37,500 * 0.1 = $3,750
See Table on page 88

Qualitative
Page 90 Figure 2-11
Page 90 Table 2-8

Delphi Technique
Each member give anonymous
opinion of a threat
Results are compiled and distributed
to members
Members comment anonymously
Result are compiled and distributed
to members
Process continues until there is a
consensus

Cost/Benefit of Safeguard
Value of Safeguard to the company =
ALE (before safeguard) ALE (after
safeguard) annual cost of
safeguard
Example page 93
Value = $12,000 - $3,000 - $650 =
$8,350

Cost of Countermeasure
Page 93
Page 94 cost of IDS

Residual Risk
Conceptual formulas
Threats*vulnerability*asset value =
total risk
Total risk * control gaps = residual
risk
Total risk countermeasures =
residual risk

Handling Risk
Transfer risk
Insurance

Avoid risk
Dont do it

Mitigate risk
Reduce by controls

Accept risk
Live with it. Cost of controls exceed
benefits

Key Terms
Pages 98-99

Outsourcing
Cloud
Software creation
Reducing the risk
Page 100

Das könnte Ihnen auch gefallen

Concise Guide to CompTIA Security +
Von Everand
Concise Guide to CompTIA Security +
alasdair gilchrist
Bewertung: 3 von 5 Sternen
3/5 (2)
Cybersecurity Fundamentals Explained
Von Everand
Cybersecurity Fundamentals Explained
Brian Mackay
Noch keine Bewertungen
Information Security Risk Analysis
Dokument42 Seiten
Information Security Risk Analysis
Rishabh kapoor
Noch keine Bewertungen
Information Risk Management
Dokument29 Seiten
Information Risk Management
Anas Inam
100% (1)
Informtion Risk Management
Dokument54 Seiten
Informtion Risk Management
Muhammad Ibrahim
Noch keine Bewertungen
CSSLP 2016 Notes
Dokument26 Seiten
CSSLP 2016 Notes
parul154
Noch keine Bewertungen
Risk Management: Predict - Preempt - Protect
Dokument31 Seiten
Risk Management: Predict - Preempt - Protect
Ferry
100% (2)
Information Risk Management
Dokument30 Seiten
Information Risk Management
Pukhraj
Noch keine Bewertungen
CH 9 Risk
Dokument24 Seiten
CH 9 Risk
Naveed Riaz
Noch keine Bewertungen
A719552767 - 24968 - 24 - 2019 - ppt4 Info Risk
Dokument30 Seiten
A719552767 - 24968 - 24 - 2019 - ppt4 Info Risk
Vinay Singh Bittu
100% (1)
"Risks in Information System ": Prepared By: Manoj Kumar Attri 23-MBA-2011
Dokument26 Seiten
"Risks in Information System ": Prepared By: Manoj Kumar Attri 23-MBA-2011
Amit Pal Singh
Noch keine Bewertungen
Week 6 Risk Assessment and Analysis Part 1 2
Dokument55 Seiten
Week 6 Risk Assessment and Analysis Part 1 2
Very dangger
Noch keine Bewertungen
Risk Management: Fall 2020, COMP 4041 (OS System Security) DR Danish Khan
Dokument57 Seiten
Risk Management: Fall 2020, COMP 4041 (OS System Security) DR Danish Khan
TanveerAli01
Noch keine Bewertungen
Risk Management: ISEC 4340
Dokument166 Seiten
Risk Management: ISEC 4340
يُ يَ
Noch keine Bewertungen
IRM Lecture 6 - Information Security and Risk Management
Dokument7 Seiten
IRM Lecture 6 - Information Security and Risk Management
Limberto Suarez
Noch keine Bewertungen
Unit 1 CYBER SECURITY (AUC-002)
Dokument49 Seiten
Unit 1 CYBER SECURITY (AUC-002)
Prachi
Noch keine Bewertungen
Chap 8
Dokument22 Seiten
Chap 8
nikhil
Noch keine Bewertungen
Week 11
Dokument55 Seiten
Week 11
rajnipriya0101
Noch keine Bewertungen
304 Slide
Dokument46 Seiten
304 Slide
javabean
Noch keine Bewertungen
Cyber Risk Management
Dokument35 Seiten
Cyber Risk Management
SK Tu
Noch keine Bewertungen
ISA1 Module2Topic5
Dokument67 Seiten
ISA1 Module2Topic5
サカイアルジェイ
Noch keine Bewertungen
CSE3501 Security Incident Management
Dokument31 Seiten
CSE3501 Security Incident Management
rishabh agrawal
Noch keine Bewertungen
Group 2 Report (Lea 13 - SLCB)
Dokument48 Seiten
Group 2 Report (Lea 13 - SLCB)
yvonne
Noch keine Bewertungen
Administrating Security
Dokument27 Seiten
Administrating Security
devinasharad
Noch keine Bewertungen
CC7178 Cyber Security Management: Presenter: Kiran Kumar Shah
Dokument31 Seiten
CC7178 Cyber Security Management: Presenter: Kiran Kumar Shah
Manish Sharma
Noch keine Bewertungen
Information Security Risk Analysis
Dokument27 Seiten
Information Security Risk Analysis
Mahesh Singh
Noch keine Bewertungen
Chapter 2 Risk Management
Dokument22 Seiten
Chapter 2 Risk Management
m4k078
Noch keine Bewertungen
Risk Assessment Guidelines
Dokument11 Seiten
Risk Assessment Guidelines
BlueWhale'86
Noch keine Bewertungen
CISSP 8 Domains
Dokument508 Seiten
CISSP 8 Domains
Antonio Galvez
100% (10)
Risk Management: "Once We Know Our Weaknesses, They Cease To Do Us Any Harm"
Dokument61 Seiten
Risk Management: "Once We Know Our Weaknesses, They Cease To Do Us Any Harm"
Paolo Legaspi
Noch keine Bewertungen
Strategic Risk Management Plan Objectives
Dokument31 Seiten
Strategic Risk Management Plan Objectives
israa
Noch keine Bewertungen
CISSP - 1 Information Security & Risk Management
Dokument60 Seiten
CISSP - 1 Information Security & Risk Management
lebenikos
Noch keine Bewertungen
Information Security Governance and Risk Management
Dokument6 Seiten
Information Security Governance and Risk Management
jbrackett239
Noch keine Bewertungen
Operational Risk Management Essentials
Dokument36 Seiten
Operational Risk Management Essentials
Mithilesh Ramgolam
Noch keine Bewertungen
Risk Assessment: - By: Dedy Syamsuar, PHD
Dokument29 Seiten
Risk Assessment: - By: Dedy Syamsuar, PHD
Istiarso Budiyuwono
Noch keine Bewertungen
Business Continuity Planning Essentials
Dokument43 Seiten
Business Continuity Planning Essentials
khofifah maudi
Noch keine Bewertungen
GS102 Guide
Dokument21 Seiten
GS102 Guide
Abel Poda
Noch keine Bewertungen
2 - Managing Risk
Dokument22 Seiten
2 - Managing Risk
Antonio Sodré
Noch keine Bewertungen
Unit I Security Risk Assessment and Management
Dokument32 Seiten
Unit I Security Risk Assessment and Management
Shifa Khan
100% (1)
Course Work
Dokument7 Seiten
Course Work
Sadiobankz
Noch keine Bewertungen
Lect 01
Dokument30 Seiten
Lect 01
Nguyen Quoc Khai
Noch keine Bewertungen
CSE 6203 - Lecture 01
Dokument18 Seiten
CSE 6203 - Lecture 01
Sumit Pramanik
Noch keine Bewertungen
Software Engineering
Dokument48 Seiten
Software Engineering
vivekguptaaki
Noch keine Bewertungen
MSIS 4253 Exam 1-Chapters 1-5 Lecture Notes
Dokument19 Seiten
MSIS 4253 Exam 1-Chapters 1-5 Lecture Notes
nightmonkey215
Noch keine Bewertungen
Week 2 - Risk Assessment
Dokument35 Seiten
Week 2 - Risk Assessment
Tahir Bashir
Noch keine Bewertungen
CISSP Chapter 1: Information Security Governance and Risk Management
Dokument60 Seiten
CISSP Chapter 1: Information Security Governance and Risk Management
jonty509
Noch keine Bewertungen
Lecture 32 Risk Management Process
Dokument28 Seiten
Lecture 32 Risk Management Process
Umar Farooq
Noch keine Bewertungen
Study Guide: Certified Information Systems Security Officer
Dokument33 Seiten
Study Guide: Certified Information Systems Security Officer
ellococareloco
100% (1)
04-Managing Risk - RVSD
Dokument38 Seiten
04-Managing Risk - RVSD
Nerissa Lozada
100% (1)
Assignment Risk Management
Dokument5 Seiten
Assignment Risk Management
Himanshu Jain
Noch keine Bewertungen
Risk Analysis Nina Godbole
Dokument23 Seiten
Risk Analysis Nina Godbole
Rupesh Akula
Noch keine Bewertungen
Risk Management
Dokument6 Seiten
Risk Management
Sudesh Agrawal
Noch keine Bewertungen
Lecture 31
Dokument26 Seiten
Lecture 31
Umar Farooq
Noch keine Bewertungen
Managing Risk
Dokument37 Seiten
Managing Risk
Zishan
Noch keine Bewertungen
NIST SP800-30 Approach To Risk Assessment
Dokument6 Seiten
NIST SP800-30 Approach To Risk Assessment
Babby Boss
Noch keine Bewertungen
Risk Management Project Report
Dokument42 Seiten
Risk Management Project Report
arakalareddy
100% (2)
Introduction To Pipeline Risk Assessment
Dokument33 Seiten
Introduction To Pipeline Risk Assessment
Laila_Utari_Ratna
100% (2)
Lecture 01
Dokument22 Seiten
Lecture 01
Ismail Muhammad
Noch keine Bewertungen
Enterprise Risk Management
Dokument29 Seiten
Enterprise Risk Management
Sujeewa Lakmal
Noch keine Bewertungen
Defending the Digital Perimeter: Network Security Audit Readiness Strategies
Von Everand
Defending the Digital Perimeter: Network Security Audit Readiness Strategies
J.L Parham
Noch keine Bewertungen
Chemistry
Dokument4 Seiten
Chemistry
Sakil Mahmud
Noch keine Bewertungen
CPE Job Aid
Dokument1 Seite
CPE Job Aid
Sakil Mahmud
Noch keine Bewertungen
Lecture 1
Dokument3 Seiten
Lecture 1
Sakil Mahmud
Noch keine Bewertungen
Governance Risk and Automation Webinar Presentation Deck - Full Slides
Dokument54 Seiten
Governance Risk and Automation Webinar Presentation Deck - Full Slides
Sakil Mahmud
Noch keine Bewertungen
Remote Proctoring Guide: System Requirements & How To Launch The Exam
Dokument7 Seiten
Remote Proctoring Guide: System Requirements & How To Launch The Exam
Joao
Noch keine Bewertungen
Physics Class - 8 Revision Worksheet - 3 (Measurement of Temperature)
Dokument2 Seiten
Physics Class - 8 Revision Worksheet - 3 (Measurement of Temperature)
Sakil Mahmud
0% (1)
Communicate Risks Using Heat Map
Dokument9 Seiten
Communicate Risks Using Heat Map
Irshad Ali
Noch keine Bewertungen
Owasp Api Security Top 10 Cheat Sheet A4
Dokument3 Seiten
Owasp Api Security Top 10 Cheat Sheet A4
Pendyala Srinivas
Noch keine Bewertungen
How To Setup Up Csirt and Soc
Dokument57 Seiten
How To Setup Up Csirt and Soc
Juan Pablo Rocha Guzmán
Noch keine Bewertungen
Mobile App Security Checklist-English 1.1.2
Dokument64 Seiten
Mobile App Security Checklist-English 1.1.2
Salman Ahmed
Noch keine Bewertungen
Maths 8 Week 5 Trigonometry
Dokument3 Seiten
Maths 8 Week 5 Trigonometry
Sakil Mahmud
Noch keine Bewertungen
Capstone School Dhaka Class VIII Biology Handout on COVID-19 Prevention and Symptoms
Dokument1 Seite
Capstone School Dhaka Class VIII Biology Handout on COVID-19 Prevention and Symptoms
Sakil Mahmud
Noch keine Bewertungen
Revision 4 Addmath Class 8
Dokument1 Seite
Revision 4 Addmath Class 8
Sakil Mahmud
Noch keine Bewertungen
Class 8 English
Dokument4 Seiten
Class 8 English
Sakil Mahmud
100% (1)
Class 5 Science PDF
Dokument1 Seite
Class 5 Science PDF
Sakil Mahmud
Noch keine Bewertungen
Worksheet 3, History, Class 5,1st April
Dokument1 Seite
Worksheet 3, History, Class 5,1st April
Sakil Mahmud
Noch keine Bewertungen
Capstone School Dhaka Class V Science Life Styles & Survival
Dokument1 Seite
Capstone School Dhaka Class V Science Life Styles & Survival
Sakil Mahmud
Noch keine Bewertungen
2019 Global Phish Report
Dokument18 Seiten
2019 Global Phish Report
Sakil Mahmud
Noch keine Bewertungen
Cyber Sec CHK
Dokument43 Seiten
Cyber Sec CHK
Sakil Mahmud
Noch keine Bewertungen
2019 Global Phish Report
Dokument18 Seiten
2019 Global Phish Report
Sakil Mahmud
Noch keine Bewertungen
Job Description - Business Analyst Team Lead
Dokument3 Seiten
Job Description - Business Analyst Team Lead
Sakil Mahmud
Noch keine Bewertungen
Data Center Checklist: Proven Industry Experience
Dokument2 Seiten
Data Center Checklist: Proven Industry Experience
Nahid Hasan
Noch keine Bewertungen
Agrani Bank ICT Security Policy 2016 PDF
Dokument68 Seiten
Agrani Bank ICT Security Policy 2016 PDF
Sakil Mahmud
Noch keine Bewertungen
Data Center Checklist: Proven Industry Experience
Dokument2 Seiten
Data Center Checklist: Proven Industry Experience
Nahid Hasan
Noch keine Bewertungen
2019 Global Phish Report
Dokument18 Seiten
2019 Global Phish Report
Sakil Mahmud
Noch keine Bewertungen
CISSP Referenced The Reddit Forum Weekly
Dokument2 Seiten
CISSP Referenced The Reddit Forum Weekly
Sakil Mahmud
Noch keine Bewertungen
Modern Bank Heists: The Bank Robbery Shifts To Cyberspace
Dokument14 Seiten
Modern Bank Heists: The Bank Robbery Shifts To Cyberspace
Sakil Mahmud
Noch keine Bewertungen
CRISC.270q: Number: CRISC Passing Score: 800 Time Limit: 120 Min
Dokument170 Seiten
CRISC.270q: Number: CRISC Passing Score: 800 Time Limit: 120 Min
Sakil Mahmud
Noch keine Bewertungen
Sophos: Stopping Tomorrow's Attacks Today: A Next-Gen Approach For Advanced Threats
Dokument31 Seiten
Sophos: Stopping Tomorrow's Attacks Today: A Next-Gen Approach For Advanced Threats
Sakil Mahmud
Noch keine Bewertungen
General Cybersecurity Best Practices Guid
Dokument1 Seite
General Cybersecurity Best Practices Guid
Sakil Mahmud
Noch keine Bewertungen