Necesito crear una matriz de amenazas y contramedidas para poder comenzar a hacer un análisis de riesgo de a qué podemos estar expuestos en el entorno de infraestructura de mi cliente. ¿Tiene alguna idea o consejo sobre cómo puedo obtener esa información?
Hay muchas fuentes disponibles para ayudarlo a compilar una matriz de amenazas. Se han escrito muchos libros sobre el tema, así como numerosos recursos web, para ayudarlo a crear una matriz de análisis de riesgo (RA). WBDG tiene uno bueno, y la publicación NIST 800-30 (.pdf) ha existido por un tiempo, pero sigue siendo útil.
Pero antes de comenzar a concentrarse en la parte de las contramedidas, deberá comprender la diferencia entre una amenaza y una vulnerabilidad para crear un marco que haga esta diferenciación. Una vez que los haya compilado, identifique los activos de la empresa que se verían afectados y califique la gravedad si una amenaza detectada afecta al activo. Dr. Krutz ‘y mi último texto, La guía de preparación de CISSP y CAP: Edición Platinum, explica un enfoque de alto nivel para RA, define varias fórmulas de tasa de ocurrencia y proporciona una matriz de plantilla para la calificación de amenazas / vulnerabilidades / activos.