Muchas veces, a la hora de llevar a cabo análisis de riesgos de forma artesanal (sin el soporte de una herramienta), una de las principales dificultades suele aparecer a la hora de dar valores a las amenazas y las vulnerabilidades. Evidentemente, un análisis de riesgos no tiene por qué ser realizado por un experto en seguridad, pero probablemente todo el mundo desee llegar a un resultado tan válido como el que pueda obtener uno.
Existen multitud de técnicas aplicables para simplificar esta tarea, pero una que puede resultar bastante útil puede ser la utilización de la metodología DREAD. Esta técnica, desarrollada para valorar amenazas dentro de un proceso de desarrollo de aplicaciones y sistemas seguros, puede ser utilizada para realizar una priorización de amenazas sencilla y objetiva. En base a cinco parámetros, la metodología sirve para realizar un rápido análisis de la "importancia" de la amenaza, obteniendo un valor que nos permita identificar el factor de riesgo asociado a la misma.
En lugar de explicar la metodología, creo que es más conveniente recurrir a algunas referencias que lo hagan por mí. En primer lugar, una referencia a la metodología realizada por la propia OWASP, y en segundo un artículo en el que aparece explicada. Es suficiente? En caso contrario, siempre queda google...
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario