En prototypisk Risk Analysis

Et flertal af risikoanalyse procesbeskrivelser understrege, at risikoidentifikation, ranking, og afbødning er en kontinuerlig proces og ikke blot et enkelt skridt, der skal udfyldes på et tidspunkt i udviklingen livscyklus. Risiko analyseresultater og risikokategorier dermed drive både i krav (tidligt i livscyklus) og ind test (hvor risiko- resultater kan bruges til at definere og planlægge særlige forsøg).

Risikoanalyse, som er en specialiseret emne, er ikke altid bedst udføres udelukkende af designteamet uden hjælp fra fagfolk risiko uden for teamet. Streng risikoanalyse er stærkt på en forståelse af business indvirkning, som kan kræve en forståelse af love og regler så meget som forretningsmodellen understøttes af softwaren. Også den menneskelige natur dikterer, at udviklere og designere vil have opbygget visse forudsætninger vedrørende deres system, og de risici, den står over for. Risiko og sikkerhed specialister kan som minimum hjælpe med at udfordre disse antagelser mod almindeligt accepterede bedste praksis og er i en bedre position til at "påtage sig noget."
Et prototypisk risikoanalyse tilgang indebærer flere store aktiviteter, der ofte omfatter en række grundlæggende sub trin

Lær så meget som muligt om målet for analysen
-.. Læs og forstå specifikationerne, arkitektur dokumenter og andre design materialer
-. Diskutere og brainstorm om målet med en gruppe .
- Bestem systemets grænse og data følsomhed /kritikalitet
-. Spil med softwaren (hvis det findes i eksekverbar form)
-. Undersøgelse koden og andre software artefakter (herunder brug af kode analyseværktøjer )
-. Identificer trusler og blive enige om relevante kilder til angreb (f.eks vil insidere blive betragtet)

Diskuter sikkerhedsspørgsmål omkring softwaren
-?.. Argumentere om, hvordan produktet fungerer og bestemme områder af uenighed eller tvetydighed
-. Identificer mulige sårbarheder, nogle gange gør brug af værktøj eller lister over almindelige sårbarheder
-. Kortlægge exploits og begynder at diskutere mulige løsninger
-. Opnå forståelse af nuværende og planlagte sikkerhed . kontroller

Bestem sandsynligheden for kompromis
-. Kortlægge angreb scenarier for udnytter af sårbarheder
-. Balance kontrol mod trussel kapacitet til at bestemme sandsynligheden

Udfør konsekvensanalyse <.. br> - Bestem indvirkninger på aktiver og forretningsmål
-.. Overveje indvirkninger på sikkerheden kropsholdning

Rank risici

Udvikle en afbødning strategi
-. Anbefal modforanstaltninger for at afbøde risici .

Rapport fund Y - beskrive forsigtigt de større og mindre risici, med sans for påvirkninger
-.. Give grundlæggende oplysninger om hvor at tilbringe begrænsede ressourcer afbødning

En række forskelligartede tilgange til risikoanalyse for sikkerhed er blevet udtænkt og praktiseret gennem årene. Selvom mange af disse tilgange udtrykkeligt opfundet til brug i netsikkerhed plads, de stadig tilbyde værdifuld risikoanalyse lektioner
.