Un model d'avaluació d'amenaces és una representació del pla d'una organització quant a la identificació de possibles amenaces i els mitjans que implementarà per minimitzar o contrarestar aquestes amenaces. Aquests models poden utilitzar fulls de càlcul, gràfics, diagrames de flux, diagrames o una sèrie d'altres ajuts per il·lustrar els punts necessaris.
Propòsit
El propòsit d'un model d'avaluació d'amenaces és donar a les organitzacions la possibilitat d'identificar possibles amenaces abans que es produeixin i esbossin formes de prevenir-les o revertir-ne els efectes. Com que una organització es fa cada vegada més gran i complexa, els diversos tipus d'amenaces a què s'enfronta poden créixer en nombre i magnitud, i és important disposar d'un model establert que l'organització pot utilitzar per organitzar i analitzar aquestes amenaces i després aplicar contramedidas contra ells. Intentar minimitzar amenaces sense l'ús d'un model pot ser confús, ineficient i fins i tot contraefficients.
Usos
Els models d'avaluació de l'amenaça poden ser útils quan es tracta de qüestions de responsabilitat, com ara els riscos de seguretat que poden provocar que els clients presentin demandes civils contra un minorista. També poden tractar coses com la seguretat informàtica, que poden ser extremadament importants per a les empreses que treballen amb grans magatzems de la informació del compte de client, especialment quan emmagatzemen informació com números de targetes de crèdit, adreces i números de la Seguretat Social. Prenent nota de les possibles amenaces i les formes de tractar amb elles, les organitzacions poden protegir-se, la seva reputació, els seus clients i la societat en general.
Qüestions bàsiques
Segons James Bayne, "Un panorama general d'amenaça i avaluació de riscos" per a l'Institut SANS, una font de formació en seguretat de la informació, qualsevol model d'avaluació d'amenaces ha de tractar diversos problemes clau. En primer lloc, ha d'identificar el que cal protegir, com ara els actius físics o la informació sensible. En segon lloc, ha d'identificar totes les amenaces i vulnerabilitats que enfronta l'organització. En tercer lloc, ha d'exposar totes les implicacions del que passaria si es perdés algun dels actius valuosos. En quart lloc, ha de donar algunes solucions sobre com l'organització pot minimitzar la seva exposició a aquestes amenaces.
Analitzant amenaces
Al realitzar una avaluació d'amenaces, cal analitzar la naturalesa i la gravetat de les amenaces a què s'enfronta la vostra organització. L'aspecte més important de categoritzar amenaces és identificar-los com humans o no humans. Una amenaça humana, per exemple, seria un hacker, un empleat descontent, un empleat mal preparat o un lladre. Una amenaça no humana seria un desastre natural o un fracàs de l'equip. Un model d'avaluació d'amenaces us ajudarà a detallar totes aquestes amenaces i quantificar el grau de severitat.