La valutazione del rischio è descritta come
Risk assessment determines the value of the information assets, identifies the applicable threats and vulnerabilities that exist (or could exist), identifies the existing controls and their effect on the risk identified, determines the potential consequences and finally prioritizes the derived risks and ranks them against the risk evaluation criteria set in the context establishment.
in ISO / IEC 27005: 2011.
Una valutazione del rischio di minaccia fa esattamente questo, ma concentrandosi sulle minacce nei confronti di un'organizzazione / sistema / software (qualunque cosa tu abbia impostato come ambito).
Per fare un esempio, se dovessi eseguire un TRA per il tuo blog, un risultato potrebbe essere:
Asset : webserver
Minaccia : abuso dei diritti
Vulnerabilità : tutti gli amministratori hanno accesso al pannello di controllo dell'amministratore (o qualsiasi cosa venga chiamata in wordpress)
Controllo : Accidenti, non lo so?!?
Effetto sul rischio : riduce la probabilità del X%
Ora hai finito con la valutazione del rischio (in poche parole). Dopo aver completato questo per tutte le risorse all'interno dell'ambito scelto, modella le tue minacce. Questo significa che provi a 'pensare' come un aggressore che vuole danneggiare te / il tuo sistema. Come cercherebbe di raggiungere il suo obiettivo? Se non puoi farlo tu stesso, assumi un consulente, un esperto di sicurezza IT o visiti Sec.SE e fai una domanda:
You: "Heyyy guyzz, how would an admin abuse his rights, if he was,
like, an admin on my blog?" (not you obviously)
Ottieni una risposta sofisticata che descrive come questo amministratore lo farebbe.
Sec.SE: "Oftentimes administrators have more rights, than they need. Imagine a team of - let's say - 5 admins. Each admin has a specific role. Admin A is responsible for uploading new content, Admin B is responsible for moderating comments, Admin C is responsible for maintaining the database and so on. This obviously means, that each admin should only have the rights, that he/she definitely needs to have. You should definitely restrict the rights for admins in a way, that they are only allowed to do things, that they have to, according to their roles.
Ora hai modellato (!) una minaccia e hai anche stabilito un controllo. Complimenti!