Un Análisis de Riesgos Prototipo

La mayoría de las descripciones de los procesos de análisis de riesgos hincapié en que la identificación de riesgos, la clasificación y la mitigación es un proceso continuo y no simplemente un solo paso para ser completado en una etapa del ciclo de vida de desarrollo. Los resultados del análisis de riesgos y categorías de riesgo tanto en coche tanto en requisitos (temprano en el ciclo de vida) y en las pruebas (donde los resultados de riesgo se pueden utilizar para definir y planificar las pruebas particulares).

El análisis de riesgos, siendo un tema especializado, es No siempre es mejor realizado únicamente por el equipo de diseño sin la ayuda de profesionales de riesgo fuera del equipo. Análisis de riesgos rigurosa depende en gran medida la comprensión de impacto en el negocio, lo que puede requerir una comprensión de las leyes y reglamentos tanto como el modelo de negocio soportado por el software. Además, la naturaleza humana dicta que los desarrolladores y diseñadores han creado ciertas suposiciones con respecto a su sistema y los riesgos a los que se enfrenta. Especialistas de riesgo y de seguridad pueden, como mínimo, ayudan a desafiar esas suposiciones con las mejores prácticas generalmente aceptadas y están en una mejor posición para "asumir nada."
Un enfoque de análisis de riesgos prototípico implica varias actividades importantes que a menudo incluyen una serie de sub básica Pasos para

Para saber lo más posible sobre el objetivo del análisis
-.. Lea y comprenda las especificaciones, documentos de arquitectura, y otros materiales de diseño
-. Comenta y una lluvia de ideas sobre el objetivo con un grupo .
- Determinar límites del sistema y los datos de sensibilidad /criticidad
-. Juega con el software (si existe en formato ejecutable).
- Estudiar el código y otros artefactos de software (incluyendo el uso de herramientas de análisis de código )
-. Identificar las amenazas y acordar las fuentes pertinentes de ataque (por ejemplo, se considerará información privilegiada)

Discutir los problemas de seguridad que rodean el software CD -?.. discuten sobre cómo funciona el producto y determinar áreas de desacuerdo o ambigüedad
-. Identificar posibles vulnerabilidades, a veces haciendo uso de herramientas o listas de vulnerabilidades comunes.
- Mapa cabo hazañas y comienzan a discutir posibles soluciones.
- Ganancia de la comprensión de la seguridad actual y planificada . controles

Determinar la probabilidad de compromiso
-. Trazar escenarios de ataque de explotación de vulnerabilidades.
- controles de balance contra la amenaza de la capacidad de determinar la probabilidad

Realizar análisis de impacto <.. br> - Determinar los impactos sobre los activos y los objetivos de negocio
-.. Considerar los impactos sobre la postura de seguridad

Rango riesgos

Desarrollar una estrategia de mitigación.
- Recomendar medidas para mitigar los riesgos .

resultados de informe
- describir cuidadosamente los riesgos mayores y menores, con atención a los impactos
-.. Proporcionar información básica sobre dónde gastar los recursos limitados de mitigación

Varios diversos enfoques para el análisis de riesgos para la seguridad se han ideado y practicado en los últimos años. Aunque muchos de estos enfoques fueron inventados expresamente para su uso en el espacio de seguridad de la red, todavía ofrecen valiosas lecciones de análisis de riesgo Hotel  .;