Muchos términos y lenguaje confusos aquí. Para obtener el lenguaje de riesgo de información correcto, considere FAIR o Análisis factorial de riesgo de información
La terminología "Modelos de amenazas" fue reemplazada correctamente por Cigital con el término "Análisis de riesgo arquitectónico". Usar 'amenaza' aquí es especialmente incorrecto.
La evaluación de riesgos (por ejemplo, OCTAVE, OCTAVE Allegro) también es muy diferente del análisis de riesgos. Una evaluación de riesgo es, en el mejor de los casos, un cuestionario documentado y puntual. Un análisis de riesgo puede ser mucho más útil cuando las variables de entrada se seleccionan y formulan correctamente. Por "útil", quiero decir que reflejan la realidad más cerca de lo que un humano puede correlacionar y ajustarse a los patrones normalizados.
Sin invocar el libro, "Software Security Engineering: A Guide for Project Managers", puedo decirle que la ingeniería de requisitos de seguridad, como usted lo solicita, no es un problema claramente definido que resolver en el riesgo cibernético. A fines de la década de 1990, se abandonaron muchos proyectos de documentos pesados basados en Cascada u otras prescripciones del ciclo de vida en los círculos de Tecnología de la Información y Desarrollo de Aplicaciones. Hoy en día, nuestras prácticas y cadenas de valor están alineadas con Scrumban, la evolución más moderna de xp.
Si puede seguir el modelo FAIR, entonces comprenderá cómo la información encaja en su organización. Esto existe fuera de los procesos de su negocio: es un lenguaje estándar para comunicarse con la multitud de jugadores que podrían presentarse a la conversación sobre el riesgo cibernético. Las amenazas, como en TCom y TCaps, son una pieza importante del modelo FAIR, por lo que debe cuantificar las amenazas para cuantificar el riesgo. También debes entender el negocio. Si identifica una vulnerabilidad o un problema de conjunto de controles, entonces deseará obtener la causa raíz. La causa raíz nunca es un parche: siempre está de vuelta al proceso de negocios, generalmente la gestión de consecuencias o incluso la gestión de crisis.
Si desea ver cómo se pueden unir realmente estas piezas, le sugiero que revise FAIR, pero la integración es clave, y OpenSAMM hace que la integración sea más limpia que cualquier otra cosa que haya visto. Si necesita un mapa estratégico para pronosticar sus resultados futuros (o recopilar las variables de entrada correctas en primer lugar), entonces OWASP OpenSAMM puede adaptarse a cualquier necesidad de riesgo cibernético. Verá el lenguaje correcto alrededor de "ingeniería de requisitos de seguridad", "evaluación de amenazas" (su análisis de riesgo), "revisión de diseño" (su modelo de amenaza), y mucho más definido y explicado explícitamente dentro.