Modelo de Planning Poker
Priorização da Revisão de Segurança
Priorize achados de segurança por risco antes que se tornem incidentes
Use planning poker com um deck de risco para chegar a um consenso da equipe sobre a gravidade dos achados de segurança. Ter engenheiros de segurança e desenvolvedores votando juntos revela detalhes de implementação que afetam a explorabilidade, enquanto representantes do negócio avaliam o impacto de uma violação. A revelação simultânea impede que engenheiros seniores ancorem o grupo com sua avaliação inicial.
Passos
- 01Liste os achados de segurança de uma auditoria ou teste de penetração recente
- 02Resuma cada achado: vetor de ataque, dados afetados, controles existentes
- 03Vote no nível de risco — Baixo, Médio, Alto ou Crítico
- 04Revele e resolva divergências discutindo probabilidade vs impacto
- 05Atribua um responsável e uma data-alvo de remediação para cada achado
- 06Agende um acompanhamento para verificar as correções
Quando usar
Depois de uma auditoria de segurança, teste de penetração ou mudança significativa na arquitetura. Execute isso com engenharia e um representante de segurança — não deixe uma equipe priorizar unilateralmente.
Modelos relacionados
Abra este modelo em uma sala
Crie uma sala Plandeck gratuita pré-configurada com este modelo. Nenhum cadastro necessário.