Las decisiones de riesgo son el fundamento de la seguridad de la información. Tristemente, también son de las partes menos comprendidas en la seguridad de la información.
Esto por sí solo no es algo bueno, pero también puede afectar cualquier esfuerzo educativo conforme una organización migra hacia una filosofía DevOps.
Para poder evaluar apropiadamente el riesgo de un evento, se requiere de dos componentes:
- Una evaluación del impacto del evento
- La probabilidad de que ocurra el evento
Desafortunadamente, los equipos –y los humanos en general– son razonablemente buenos en la primera parte e irracionalmente malos en la segunda.
Esto es un problema.
Es un problema que se amplifica cuando la seguridad comienza a integrarse con los equipos en un entorno DevOps. Originalmente presentada como parte de AllTheTalks.online, esta charla examina las decisiones de riesgo y cómo podemos comenzar a trabajar para mejorar la forma en nuestros equipos las maneja.