<div class="markdown">
<p>On 8 Mar 2013, at 14:48, Michael Hidalgo wrote:</p>

<blockquote>
<p>Hi Folks, Greetings from the beautiful Costa Rica :)</p>

<p>Today I received an interesting question from a person that is going to<br>
participate in the upcoming OWASP Latam Tour( and I say interesting because<br>
I'm glad OWASP methodologies are being adopted in Costa Rica).</p>

<p>So this person did a terrific job. Along with a lot of developers. They<br>
created a Risk Management matrix and they identified all the applications<br>
they are using. Then based in the OWASP Top Ten they did a clasiffication<br>
on that and at the end of the day they determine which applications<br>
required special attention.</p>
</blockquote>

<p>I would love to see it - where is it?</p>

<blockquote>
<p>This person sent me an email and he  principal concern is once he has<br>
determine which applications are more vulnerable (as a result of the Risk<br>
Matrix) how they could evaluate if those vulnerabilities exit in their<br>
application.</p>
</blockquote>

<p>We all share this concern. </p>

<blockquote>
<p>Since I'm not an expert in the Risk Management, what would you guys<br>
suggest? Basically the question here is given the Risk Management Matrix<br>
how to determine the incidence of those vulnerabilities in the code?</p>
</blockquote>

<p>This is the million dollar question, if we could find all the problems, we could easily manage them and we would not have any problems. ;-)</p>

<blockquote>
<p>Is there any project at OWASP that explains something similar o any futher<br>
reference?</p>
</blockquote>

<p>See below.</p>

<blockquote>
<p>I was reading at <a href="https://www.owasp.org/index.php/Threat_Risk_Modeling">https://www.owasp.org/index.php/Threat_Risk_Modeling</a> which<br>
is very complete.</p>
</blockquote>

<p>This is actually not that good. Threat modelling and risk modelling are very different. Threat modelling is about surfacing risks. Risk modelling is about managing the risks you surfaced through threat modelling. Currently OWASP seems a bit confused about the differences.</p>

<p>Think about it this way: <br>
- Threat Models are about finding the known and unknown. (Idenitification)<br>
- Risk models are about managing the known and unknown.  (Elimination)</p>

<p>Currently both threat and risk modelling do fairly well with the known, unfortunately neither does very good with the unknown. This unknown factor is the biggest issue not only in IT risk, but also in financial risk and subsequently leads to things like bank bailouts. </p>

<p>As you can imagine then surfacing the risks is much, much harder. Although, others would say it is simply throwing rocks at glass houses.  We are all trying to find better ways to identify the risks, but it is always the case that you get bitten by the one thing you did not know about or forgot to manage. For threat modelling the OWASP page links to some good resources.</p>

<p>Because risk management is much easier, there is much more written about it. For a semi-complete list of risk management tools see: <a href="http://rm-inv.enisa.europa.eu">http://rm-inv.enisa.europa.eu</a></p>

<p>Dennis</p>

<hr>

<p><a href="http://about.me/dennis.groves">Dennis Groves</a>, MSc<br>
<a href="mailto:dennis.groves@owasp.org">Email me</a> or <a href="http://goo.gl/8sPIy">schedule a meeting</a>.</p>

<p><em>This email is licensed under a <a href="http://creativecommons.org/licenses/by-nd/3.0/deed.en_GB">CC BY-ND 3.0</a> license.</em></p>

<p><strong>Please do not send me Microsoft Office/Apple iWork documents.</strong><br>
Send <a href="http://fsf.org/campaigns/opendocument/">OpenDocument</a> instead!<br>
Stand up for your freedom to install <a href="http://www.fsf.org/campaigns/secure-boot/statement">free software</a>.</p>

<blockquote>
<p>The idea that some lives matter less is the root of all that’s wrong with the world. -- Paul Farmer</p>
</blockquote>

</div>