Anda perlu membuat cadangan beberapa langkah dan, setelah berkonsultasi dengan klien Anda, buat model ancaman . (Ya, itu tautan ke buku setebal 600 halaman; ya, saya serius menyarankan Anda membaca semuanya.)
Model ancaman dimulai dengan mengajukan pertanyaan seperti
- Mengapa aplikasi perlu menyimpan data sensitif ini?
- Bisakah Anda menghindari menyimpannya sama sekali?
- Bisakah itu dibuang setelah waktu yang singkat?
- Apakah itu benar-benar harus dapat diakses oleh lebih dari satu perangkat?
- Jika harus dapat diakses di lebih dari satu perangkat, apakah perlu disimpan di lebih dari satu perangkat?
- Siapa orang yang diizinkan melihat data sensitif setiap pengguna?
- Bisakah daftar ini dibuat lebih pendek?
- Siapa orang yang dapat melakukan kontak dengan data sensitif masing-masing pengguna saat mencoba melakukan pekerjaan mereka, tetapi tidak perlu mengetahuinya?
- Bisakah daftar ini dibuat lebih pendek?
- Dapatkah data ini diberikan tidak dapat diakses oleh mereka tanpa merusak kemampuan mereka untuk melakukan pekerjaan mereka?
- Jika tidak bisa diakses, bisakah setidaknya dibuat tidak bisa dipahami? (Inilah yang dilakukan enkripsi, secara abstrak: enkripsi membuat data tidak dapat dipahami.)
- Siapa orang yang ingin melihat data sensitif, tetapi tidak diizinkan?
- Peluang apa yang mereka miliki untuk mendapatkan data?
- Apa yang ingin mereka lakukan dengan data begitu mereka memilikinya?
- Bagaimana mereka akan marah jika mereka tidak mendapatkan apa yang mereka inginkan?
- Berapa banyak uang, waktu, siklus CPU, dan upaya manusia yang bersedia mereka keluarkan?
- Apakah mereka peduli jika ada yang tahu mereka telah melihat data?
- Apakah mereka ingin mengakses data sensitif pengguna tertentu , atau akankah orang lain melakukannya?
- Apa yang sudah mereka ketahui?
- Apa yang sudah mereka akses?
Setelah Anda tahu jawaban atas pertanyaan-pertanyaan ini, Anda akan berada di tempat yang jauh lebih baik untuk mencari tahu apa yang harus dilakukan.
Ingatlah bahwa mungkin ada lebih dari satu jawaban untuk setiap rangkaian pertanyaan, terutama yang berhubungan dengan penyerang (orang-orang yang menginginkan data sensitif tetapi tidak diizinkan untuk memilikinya). Jika Anda tidak dapat memikirkan setidaknya setengah lusin penyerang pola dasar yang berbeda , dengan motivasi, tujuan, dan sumber daya yang berbeda, Anda mungkin melewatkan sesuatu.
Juga perlu diingat bahwa penyerang yang menyebabkan Anda (dan / atau klien) masalah paling besar, adalah yang paling mungkin membuat percikan raksasa di media jika serangan mereka berhasil, atau yang melakukan jumlah kerusakan agregat terbesar , mungkin adalah bukan penyerang yang dapat menyebabkan kerugian terbesar bagi pengguna individu jika serangan mereka berhasil. Perusahaan klien Anda secara rasional lebih peduli tentang kerusakan agregat, tetapi pengguna secara rasional lebih peduli tentang kerusakan pada diri mereka sendiri.