Nota muito breve sobre 'baselines' de segurança

Anton Aylward:

Deve haver uma citação de alguém como Ranum, Schneier, Clarke ou Hinson que diga algo como Existem ameaças, existem vulnerabilidades e há controlos mínimos para os quais não existe uma desculpa para não serem realizados. Na minha opinião, não tem sentido fazer uma análise de risco antes de terem sido colocados controlos mínimos de segurança, os que forem mais prudentes para a vossa indústria e contexto, e que incluam a segurança física, as políticas, a sensibilização, os registos e a monitorização.

in Risk Analysis Makes No Sense … does it?.

Concordo. Há controlos que são essenciais e cuja implementação não deve depender de uma análise de risco. Aliás, a análise de risco, se for realizada em seguida, deve incluir o objectivo de avaliar se esses controlos, esses controlos que são mínimos, devem ser reforçados ou se são suficientes para mitigar o risco.

(Eu disse que era uma nota muito breve : ) )