Drogi (pen)testerze! Jeśli chcesz odnaleźć się w większej organizacji potrzebujesz szerszej perspektywy. Testy nie są celem samym w sobie. By to zrozumieć, powinieneś mieć przynajmniej oględne wyobrażenie o zarządzaniu ryzykiem i rozumieć pojęcia takie jak risk, impact oraz likelihood.
Choć modele są różne, czasami różniące się w detalach i pewnych definicjach, dobrym wstępem będzie przeczytanie dwóch publikacji NIST:
- 800-30: Guide for Conducting Risk Assessments
- 800-39: Managing Information Security Risk: Organization, Mission, and Information System View
Do tego dodałbym dwie domeny z CISSP:
- Security and Risk Management
- Asset Security
