Un sacco di termini e linguaggi confusi qui. Per informazioni corrette sul linguaggio delle informazioni, considerare FAIR o Analisi fattoriale del rischio di informazione
La terminologia "Modellazione delle minacce" è stata correttamente sostituita da Cigital con il termine "Analisi del rischio architettonico". L'uso di "minaccia" qui è particolarmente errato.
La valutazione del rischio (ad es. OCTAVE, OCTAVE Allegro) è anche molto diversa dall'analisi del rischio. Una valutazione del rischio è un questionario documentato e puntuale nel migliore dei casi. Un'analisi del rischio può essere molto più utile quando le variabili di input sono selezionate e formulate correttamente. Con "utile", intendo che riflettono la realtà più vicina a ciò che un essere umano può correlare e adattarsi ai modelli normalizzati.
Senza invocare il libro "Software Security Engineering: una guida per i project manager", posso dire che l'ingegneria dei requisiti di sicurezza, come richiesto, non è un problema chiaramente definito da risolvere nel cyber-risk. Alla fine degli anni '90 molti progetti documentati basati su Waterfall o altre prescrizioni relative al ciclo di vita sono stati abbandonati nei circoli di Information Technology e Application Development. Oggi, le nostre pratiche e catene di valore sono allineate a Scrumban, l'evoluzione più moderna di xp.
Se riesci a seguire il modello FAIR, capirai in che modo il rischio di informazione si adatta alla tua organizzazione. Esiste al di fuori dei tuoi processi aziendali: è una lingua standard per comunicare con la moltitudine di giocatori che potrebbero presentarsi alla conversazione sul rischio informatico. Le minacce, come in TCom e TCaps, sono una parte importante del modello FAIR, quindi è necessario quantificare le minacce per quantificare il rischio. Devi anche capire il business. Se si identifica una vulnerabilità o un problema del set di controllo, si vorrà sollecitare la causa principale. La causa principale non è mai una patch: è sempre di ritorno al processo aziendale, in genere alla gestione delle conseguenze o persino alla gestione delle crisi.
Se vuoi vedere come si possono veramente adattare questi pezzi insieme, ti suggerisco di dare un'occhiata a FAIR, ma l'integrazione è la chiave - e OpenSAMM rende questa integrazione più pulita di qualsiasi altra cosa abbia visto. Se hai bisogno di una mappa strategica per prevedere i tuoi output futuri (o raccogliere le variabili di input corrette in primo luogo), allora OWASP OpenSAMM può essere adatto a qualsiasi esigenza di cyber-rischio. Vedrai il linguaggio corretto attorno a "ingegneria dei requisiti di sicurezza", "valutazione delle minacce" (analisi dei rischi), "revisione del progetto" (la tua modellazione delle minacce) e molto più esplicitamente definito e spiegato all'interno.