Paweł Goleń, blog

Drogi (pen)testerze! Jeśli chcesz odnaleźć się w większej organizacji potrzebujesz szerszej perspektywy. Testy nie są celem samym w sobie. By to zrozumieć, powinieneś mieć przynajmniej oględne wyobrażenie o zarządzaniu ryzykiem i rozumieć pojęcia takie jak risk , impact oraz likelihood.

Choć modele są różne, czasami różniące się w detalach i pewnych definicjach, dobrym wstępem będzie przeczytanie dwóch publikacji NIST:

• 800-30: Guide for Conducting Risk Assessments
• 800-39: Managing Information Security Risk: Organization, Mission, and Information System View

Do tego dodałbym dwie domeny z CISSP:

• Security and Risk Management
• Asset Security

Oryginał tego wpisu dostępny jest pod adresem Szersza perspektywa

Autor: Paweł Goleń