Utifrån detta används en Taxonomi med ett 80-tal attribut som är indelade i sju grupper. Exempel på attribut är auditable Transparent, detectable, authenticated. Dessa attribut kan användas som tillgångar i en riskanalys. En genomgång av Riskhantering med fokus på riskanalys påbörjades också under dagen. Den metod som David förespråkade är den vi använder idag på Omegapoint, dvs sannolikhet och konsekvens, men med en annan skala fast det var efter smak och tycke enligt David. Ett bra sätt att presentera denna riskanalys var att ta de av företaget viktiga attributen och bedöma dem och sedan presentera det med färgade staplar runt attributet, där rött, gul och grönt är färgerna som visar hur väl de uppfyller säkerheten. Detta tycker jag var en intressant och mycket åskådligt sätt att presentera en riskanalys för en företagsledning! Här kan vara något att börja använda.
Vi diskuterade även om modellen för att göra nya system, en metod som kallas ”Black-box” och innebär att man får någon input som skapar någon output, men man behöver inte i detta läge veta hur detta löses inom boxen. Efter detta var det dags för domäner med förtroende och dess riktning. Detta leder senare till modulering av funktioner och säkerhetstjänster som alla fortfarande kan härledas till affärskraven bestämda av ledningen.
Slutligen var det dags för genomgång av ”SABSA Development Lifecycle” som består av fyra punkter, nämligen Strategi och koncept, Design, Implementation, testning och mätning av resultat.
Så, vad har vi lärt oss idag?
- Mycket är sunt förnuft och bygger på teorier från andra områden
- Om du inte kan mäta det så kan du in te hantera det
- Affärssidan vill veta hur mycket de sparar
Inga kommentarer:
Skicka en kommentar