Si bien existe una gran cantidad de vulnerabilidades, amenazas y sus correspondientes contramedidas, la cantidad de información sobre Infosec Economics (específicamente para aplicaciones web) parece escasa.
¿Cuáles son los recursos y las herramientas que debo considerar para hacer que la implementación de un proceso de desarrollo seguro de software o incluso el modelado de amenazas funcione, sea medible? Los recursos existentes se centran principalmente en la seguridad de la red, por lo que estoy buscando algo específico para las prácticas de seguridad de las aplicaciones, como la lista a continuación:
- Modelado de amenazas
- Revisión de código
- Pruebas de penetración
- Desarrollo seguro
- Implementando Contramedidas
- Costos de las contramedidas vs Costos de incumplimiento