Gestión del Riesgo (Políticas de Seguridad Informática). Soy un nuevo usuario

Soy un usuario nuevo y en todo lo que les pueda ayudar mucho gusto.

Estoy metido con el tema de políticas de seguridad ya que estoy realizando mi práctica aunque admito que soy muy nuevo con el tema.

Resulta que para el diseño de una política hay que seguir una metodología que me permita identificar activos, amenazas, vulnerabilidades el impacto por la materialización de estas amenazas sobre los activos , hasta ahí todo muy bien. Ahora en el Riesgo debo determinar la probabilidad del impacto, los costos de recuperación, costos de pérdida y en teoría todo muy bien. Mi duda es: El umbral del impacto es determinado por la empresa, es un porcentaje o se puede tomar como cantidad en dinero y luego debo comparar ese umbral con el nivel del riesgo. No se si este bien pero creo que el nivel de riesgo es el valor calculado en dinero por determinado impacto.

Al momento de diseño de una política se supone que se debe utilizar una metodología y muchas personas dicen que uno debe ceñirse completamente a una, pero no estoy haciendo eso. Tomo algunas etapas o métodos de diferentes metodologías que me parecen creo sencillas, no se si este equivocado y tampoco se si debería justificar porque tome diferentes aspectos de diferentes metodologías. La metodología que he visto hasta el momento más completa es la de MAGERIT.

Tengo algunos conocimientos sobre telecomunicaciones aunque he estado leyendo algunos mensajes y se ve que tienen un profundo conocimiento en diferentes temas, ultimamente he venido jugando con samba y openldap para autenticar clientes windows y linux en red. Le he visto mucho alcance a este tema ya que además de autenticar para el inicio de sesiones puede autenticar servicios de correo, proxy ....