Ho avuto questo paio di thread qui che parla delle valutazioni del rischio di valutazione della sicurezza v / s, ma qui l'idea è completamente diversa. Supponiamo, ho dovuto suddividere compiti qualitativi da quelli quantitativi, finirei per romperli.
Ho ideato questo modello e mi chiedevo se sono sulla strada giusta per comprenderli meglio. Ecco il mio modello:
- Spezzo la 'sicurezza' in analisi quantitativa e analisi qualitativa
- Li interrompo nuovamente in compiti specifici che ho trovato tramite il WWW
Quindi, in particolare, il primo segmento i.e: "valutazione della sicurezza" si adatta meglio ai compiti quantitativi e gli "incarichi di sicurezza" si sommano più al compito qualitativo. Ecco come lo guardo ora:
-
Valutazione della sicurezza
- Valutazione del rischio
- Valutazione della minaccia
- Dispositivi di sicurezza
-
Coinvolgimento sicurezza
- Revisione codice
- Valutazioni delle vulnerabilità
- Test di penetrazione
- Enagage del team rosso
Il primo puntatore ha tutte le valutazioni e le complicanze compilate e il secondo è più di approcci difensivi + offensivi portati a test di "qualità" dei rischi a cui si accede nel primo puntatore. Quelli difensivi sono la revisione del codice e le valutazioni di vulnerabilità poiché l'organizzazione sta prendendo il controllo dal punto di vista difensivo e gli ultimi due sono offensivi dal momento che sta sfidando un auditor a trovare scappatoie, sfondare e sfruttare effettivamente.
La mia domanda a questo punto è che tutto questo concetto è vero o mi è mancato qualcosa perché ci sono molti più termini!?