Esiste un metodo "scientifico" per determinare la quantità di risorse / denaro da spendere per migliorare la sicurezza di un software?
Lavoro in un team in cui il nostro lavoro ha la priorità del proprietario del prodotto (ala Scrum). Il proprietario del prodotto è un tipo guidato dalle vendite e si concentra sulle nuove funzionalità richieste dai clienti e meno sull'infrastruttura. Penso di aver bisogno di un modo per convincerlo che dobbiamo dedicare più tempo al miglioramento della sicurezza.
Ovviamente non voglio convincerlo diffondendo la paura e non sono sicuro di me stesso quanti soldi dovremmo spendere per migliorare la sicurezza. Certo, la sicurezza del nostro software è migliorata continuamente ma sospetto - senza saperlo con certezza - che sarebbe saggio raddoppiare gli sforzi nell'area.
Ho una memoria debole a proposito di questo, dove è stato suggerito qualcosa del tipo:
- Pensa a un punto debole nella sicurezza del sistema
- Valuta quale sarebbe un costo un attacco di successo in termini di clienti persi / dis-soddisfatti (X)
- Stima la probabilità che ciò si verifichi in un determinato anno. (Y)
- Calcola quanto dovrebbe spendere per correggere i punti deboli, in base a X e Y. Non dobbiamo risolvere immediatamente il problema, ma dovremmo spendere Z per cento su di esso.