Modelado de amenazas y argumentos a su favor
Cuando nos preocupa la seguridad informática tenemos que tener claro cuáles son los riesgos que nos afectan. Para ello se puede utilizar el modelado de amenazas (threat modelling) y en Three Killer Arguments for Adopting Threat Modeling nos daban argumentos a favor de estas técnicas.
Los argumentos:
Se obtiene seguridad cuantificable.
Threat Modeling Produces Measurable Security
Bien hecha, promueve el cumplimiento.
Threat Modeling Done Right Encourages Compliance
Y, finalmente, ahorra dinero.
Threat Modeling Saves You Money
Este último argumento se basa en que arreglamos problemas de seguridad en el momento en que es más barato.
Un poco de numerología (no la traduzco):
Let’s say you found 10 major problems with the architecture in those three hours. You’ve only spent $168 USD per bug to fix them. The beauty of the design phase is that there is no code to change yet.
Without the threat modeling meeting, you could find these 10 bugs in either implementation, testing, or production. What’s the cost if you did?
For the implementation phase, you’ll pay $1,008 per bug for a total of $10,080 to fix these bugs.
If found in the testing phase, you’ll pay $2,520 per bug for a total of $25,200 to fix the bugs.
If you find the bugs in production, you’ll now have to pay $16,800 per bug, for a whopping total of $168,000.
Finalmente, el modelado de amenazas -afirman- nos proporciona una fotografía en cada momento de nuestro estado, lo que nos permite tomar mejores decisiones sobre dónde invertir el dinero.
Threat modeling gives you a constant snapshot of your current security posture. This snapshot allows you to send money where it’s needed most, not based on a slideshow or product demo, but based on real data.
Interesante.