Personalmente, comenzaría por hacer que los representantes de la empresa hablen de sus activos más valiosos. Las personas que no son profesionales de la seguridad generalmente tienen dificultades para descubrir las amenazas. Y es aún más difícil averiguar qué amenazas deberían ser más importantes para ellas . Pero la mayoría de los buenos empresarios saben lo que es importante para su negocio: la reposición, sus productos, sus flujos de ingresos, manteniendo los costos bajos. Y a la gente le encanta hablar de lo que les importa. Comprométalos primero.
Luego tome el ángulo del análisis de amenazas a través de los riesgos para esas cosas valoradas. Si esta es la discusión preliminar, no sabrá qué vulnerabilidades pueden explotarse aún, pero pasar por amenazas a la luz de los daños a los activos lo hace real.
En cuanto a las listas, tendría en mi bolsillo las listas de amenazas para los tipos de activos comunes. Por ejemplo:
-
reputación : las amenazas incluyen competidores que lanzan programas maliciosos
ataques, errores de los empleados,
hackers profesionales que buscan hacer
un nombre para sí mismos,
-
ingresos : aquellos que buscan colocar los ingresos en su bolsillo (pueden estar tanto dentro como fuera de la empresa), daños causados por juicios que provienen de una protección incorrecta de los datos personales, daños causados por multas del gobierno regularatory. cuerpos, etc.
Estaría preparado para adaptar cada lista para que se adapte al cliente. Si no está adaptando activamente la lista para dirigirse a la audiencia, dará la impresión de que la seguridad es un procedimiento de rutina.