Evaluación de seguridad v / s Desglose de compromiso de seguridad [cerrado]

1

Tenía un par de hilos aquí que hablan sobre evaluaciones de riesgo de evaluación de seguridad v / s, pero aquí la idea es completamente diferente. Supongamos que tuviera que desglosar las tareas cualitativas de las cuantitativas, terminaría rompiéndolas.

Se me ocurrió este modelo y me preguntaba si estoy en el camino correcto para entenderlos mejor. Aquí está mi modelo:

  1. Divido la 'seguridad' en dos: análisis cuantitativo y análisis cualitativo
  2. Nuevamente los divido en tareas específicas que encontré a través de la WWW

En particular, el primer segmento, es decir: 'evaluación de seguridad' se ajusta más a las tareas cuantitativas y los 'compromisos de seguridad' se llenan más hacia tareas cualitativas. Así es como lo veo ahora:

  1. Evaluación de seguridad

    • Evaluación de riesgos
    • Evaluación de amenazas
    • Cumplimientos de seguridad
  2. Compromiso de seguridad

    • Revisión de código
    • Evaluaciones de vulnerabilidad
    • Pruebas de penetración
    • Red Team Enagagements

El primer puntero tiene todas las evaluaciones y cumplimientos compilados y el segundo es más una aproximación defensiva + ofensiva tomada para "calidad" y prueba los riesgos a los que se accede en el primer puntero. Los defensivos son la revisión del código y las evaluaciones de vulnerabilidad, ya que la organización está asumiendo el compromiso desde el punto de vista defensivo y los dos últimos son ofensivos, ya que está desafiando a un auditor a encontrar lagunas, penetración y explotar.

Mi pregunta en este punto es: ¿todo este concepto es verdadero o me he estado perdiendo algo ya que hay muchos más términos?

    
pregunta Shritam Bhowmick 01.07.2015 - 01:16
fuente

1 respuesta

0

Existen numerosas metodologías de evaluación de riesgos. La primera pregunta debería ser "¿por qué construir otro?"

Los que existen son genéricos ( COBIT , NIST SP 800-30 , Mehari , ...) o específico para un área (la Protección de infraestructura crítica de la UE , por ejemplo). Al utilizar una metodología establecida, usted crea crédito en lo que entregará.

    
respondido por el WoJ 01.07.2015 - 12:53
fuente

Lea otras preguntas en las etiquetas