Qualche tempo fa, Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che lui usa, per lo sviluppo del software sicuro, il Microsoft Threat Modeling Tool:
- https://docs.microsoft.com/en-us/azure/security/azure-security-threat-modeling-tool.
Si tratta di un modello basato su quello STRIDE ed è orientato all'analisi delle applicazioni informatiche.
Consiglio la lettura di questo materiale messo a disposizione da Microsoft per ragionare sugli approcci di valutazione del rischio. Anche se questo MTM è dedicato allo sviluppo di software, i suoi principi possono essere facilmente estesi ad ambiti più ampi come i sistemi di gestione per la sicurezza delle informazioni e il GDPR. Da notare che qui non è prevista l'assegnazione di valori per calcolare un livello di rischio (penso sia necessario assegnare valori qualitativi; purtroppo stanno riemergendo auditor che ripropongono la folle idea di approcci quantitativi senza che però ne siano disponibili e consigliati pubblicamente, a differenza di approcci qualitativi o, come questo, che non sono né l'uno né l'altro).
Nessun commento:
Posta un commento