Ganduri, Informatii si Idei …

Icon

Risc si Vulnerabilitate

[…] Un alt aspect este cel legat de diferenţa între managementul riscului şi managementul vulnerabilităţilor (acesta presupune o succesiune a activităţilor de scanare, analiză a riscului, atenuare şi reluarea activităţilor). În ciuda confuziilor întâlnite, managementul riscului presupune mult mai multe variabile decât cele pe care le presupune managementul vulnerabilităţilor.
Există opinii care susţin că metodologii precum NIST 800-30 sau Octave sunt privite nu ca metodologii de evaluare a riscului, ci mai mult ca cicluri de management al vulnerabilităţilor. Şi aceasta plecând de la ideea că riscurile în mediul IT nu ar trebui evaluate plecând de la obiecte separate, ci plecând de la studierea fluxului de date din cadrul unui proces de afaceri.
În aceste condiţii, lucrând cu o astfel de metodologie obiecte precum serverul de aplicaţie şi baza de date sunt tratate separat, fără a scoate prea mult în evidenţă modul în care interacţionează şi cum gradul de risc la care este supus unul din obiecte afectează celălalt obiect.
Mai mult, o astfel de abordare nu ia în calcul utilizatorul final (care de exemplu într-un sistem de internet banking ar putea fi cu uşurinţă sursa unui atac – vezi phishingul).
(extras din teza de doctorat)

Advertisements

Filed under: Opinii

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Arhiva

My Tweets

Blog Stats

  • 11,015 hits
%d bloggers like this: