Ciberseguridad Corporativa
Modelado de amenazas corporativo del apetito al riesgo no es posible establecer una estrategia de seguridad basada en el riesgo que pueda optimizar los recursos disponibles. Una herramienta de modelado de amenazas puede ayudarte a gestionar tus recursos de forma más eficiente y a tomar mejores decisiones. Un ejemplo de ello podría ser la definición de diferentes itinerarios de seguridad para las aplicaciones en base a una evaluación preliminar del riesgo. Si se trata de una aplicación interna, basada en un arquetipo corporativo aprobado por seguridad, puede ser suficiente hacer pruebas de seguridad en preproducción. En cambio, para una aplicación que manejará datos de tarjeta y de clientes, sería razonable exigir un itinerario en el que se lleven a cabo análisis estáticos de seguridad del código, pruebas unitarias de seguridad de los controles y pruebas de seguridad externas antes de po-
Ilustración 1. Ejemplo de arquitectura para una aplicación web.
«Poner en marcha un programa de seguridad que incluya el modelado de amenazas supone un cambio cultural y organizativo más que un cambio técnico»
der llegar a producción. Es posible la definición de estos itinerarios de forma manual, en base a
iniciativa con IriusRisk 2 se muestra en la Ilustración 1.
4.Automatiza la entrega de requisitos de seguridad
correos y reuniones. Sin embargo, re-
En base a las respuestas del jefe de
Los requisitos de seguridad deben
sulta útil poder automatizar el proceso
proyecto, la herramienta de modelado
de comenzar a vivir fuera de la mente
de modo que el jefe de proyecto pueda
de amenazas generará de forma auto-
del equipo de seguridad, deben de ser
obtener de forma autónoma el itinera-
mática las tareas necesarias en el ges-
publicados, retados, mejorados y adap-
rio de seguridad para su aplicación sin
tor de tickets, de modo que se pueda
tados al apetito de riesgo acordado con
involucrar directamente al equipo de
asegurar la trazabilidad del itinerario de
negocio y a las necesidades de cumpli-
seguridad. Un ejemplo de este tipo de
seguridad definido.
miento normativo.