自我评估
这一步既迅速、又花费不多。
你只要与负责应用开发的副总裁开一次简单的会议,请对方列出某个软件开发流程的不同阶段,然后问对方在每个阶段如何处理更安全,确定这些活动的结果是不是适用于你的风险管理流程;如果结果不适用,你就可以考虑采用不同的评估指标。而大多数情况下,你得到的答案会是“嗯,我们刚开始考虑如何把安全纳入应用开发,所以目前其实没有任何具体的东西可以给你。”
而这个时候就是你与开发团队讨论需求的理想时机。
这时你只需要一份简单的核对表,就可以迅速进行差距分析(gap analysis),了解你在信息和应用安全成熟度模型上所处位置。
威胁建模也是自我评估过程中一个的重要步骤。公司层面和应用层面的威胁建模是风险分析及风险管理的一部分,可以确定对贵公司而言最大的威胁在何处——定义一组攻击或者负面场景,然后评估每种威胁的概率、潜在危害、严重程度以及对公司的影响。这种方法可在任何阶段(如设计到部署阶段)运用;运用得越早,带来的回报就越大。
威胁模型开发出来后就成了贵公司的具体、永久的资产。如果检测到新的漏洞或者威胁,你可以重复使用威胁模型,确定风险是有所增加、减少还是没变。
