Tenía un par de hilos aquí que hablan sobre evaluaciones de riesgo de evaluación de seguridad v / s, pero aquí la idea es completamente diferente. Supongamos que tuviera que desglosar las tareas cualitativas de las cuantitativas, terminaría rompiéndolas.
Se me ocurrió este modelo y me preguntaba si estoy en el camino correcto para entenderlos mejor. Aquí está mi modelo:
- Divido la 'seguridad' en dos: análisis cuantitativo y análisis cualitativo
- Nuevamente los divido en tareas específicas que encontré a través de la WWW
En particular, el primer segmento, es decir: 'evaluación de seguridad' se ajusta más a las tareas cuantitativas y los 'compromisos de seguridad' se llenan más hacia tareas cualitativas. Así es como lo veo ahora:
-
Evaluación de seguridad
- Evaluación de riesgos
- Evaluación de amenazas
- Cumplimientos de seguridad
-
Compromiso de seguridad
- Revisión de código
- Evaluaciones de vulnerabilidad
- Pruebas de penetración
- Red Team Enagagements
El primer puntero tiene todas las evaluaciones y cumplimientos compilados y el segundo es más una aproximación defensiva + ofensiva tomada para "calidad" y prueba los riesgos a los que se accede en el primer puntero. Los defensivos son la revisión del código y las evaluaciones de vulnerabilidad, ya que la organización está asumiendo el compromiso desde el punto de vista defensivo y los dos últimos son ofensivos, ya que está desafiando a un auditor a encontrar lagunas, penetración y explotar.
Mi pregunta en este punto es: ¿todo este concepto es verdadero o me he estado perdiendo algo ya que hay muchos más términos?