En una organización, tiene propietarios de control en diferentes niveles jerárquicos de la organización. El riesgo debe gestionarse y mitigarse según el nivel de acceso.
Los siguientes son los propietarios del control en una organización:
- Un propietario de control para nivel global
- Diferentes propietarios de control para niveles regionales
- Múltiples propietarios de controles a nivel local
Debe asignar controles de mitigación a diferentes niveles de responsabilidad. Ahora bien, si hay una infracción de riesgo a nivel regional y local, debe realizar la mitigación de riesgos al más alto nivel.
Para usar el control de mitigación en la jerarquía de la organización, digamos que ha realizado un análisis de riesgos a nivel de la organización y el usuario viola todas las reglas de la organización secundaria y cumple la condición de la regla principal y solo aparece la regla principal; puede realizar la mitigación de riesgos de las siguientes formas:
- Mitigación a nivel de usuario
- Mitigación a nivel de organización