Roger Grimes sobre la priorización de consejos de ciberseguridad

Este es un buen punto: Parte del problema es que constantemente nos presentan listas... listas de controles requeridos... listas de cosas que se nos piden arreglar o mejorar... listas de nuevos proyectos... listas de amenazas, y así sucesivamente, que no están clasificadas por riesgos. Por ejemplo, a menudo se nos proporciona una guía de ciberseguridad (por ejemplo, PCI-DSS, HIPAA, SOX, NIST, etc.) con cientos de recomendaciones. Todas son excelentes recomendaciones, que si se siguen, reducirán el riesgo en su entorno. Lo que no te dicen es qué recomendaciones entre las sugeridas tendrán el mayor impacto en la reducción del riesgo en su entorno. No te dicen que uno, dos o tres de estas cosas... entre las cientos que se te han dado, reducirán más riesgo que todas las demás...