# SEC01-BP07 Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia
<a name="sec_securely_operate_threat_model"></a>

 Utilizza un modello di rischio per identificare e mantenere un registro aggiornato delle potenziali minacce. Classifica le minacce in ordine di priorità e adatta i controlli di sicurezza in modo da prevenirle, rilevarle e affrontarle. Rivedi e mantieni questo approccio nel contesto dell'evoluzione del panorama della sicurezza. 

La modellazione delle minacce offre un approccio sistematico di supporto nell'individuazione e nella risoluzione di problematiche di sicurezza nella fase iniziale del processo di progettazione. Se le mitigazioni avvengono prima è meglio, perché i costi sono inferiori a una fase più avanzata del ciclo di vita.

I passaggi di base tipici del processo di modellazione delle minacce sono:

1. Identificare gli asset, gli attori, i punti d'ingresso, i componenti, i casi d'uso e i livelli di fiducia e includerli in un diagramma di progettazione.

1. Identificare un elenco di minacce.

1. Per ogni minaccia identificare le mitigazioni, che possono includere implementazioni di controlli di sicurezza.

1. Creare e rivedere una matrice dei rischi per stabilire se la minaccia è stata correttamente mitigata.

La modellazione delle minacce è più efficace se viene eseguita a livello di carico di lavoro (o di funzionalità del carico di lavoro), garantendo la disponibilità dell'intero contesto per la valutazione. Mantenere e aggiornare questa matrice in linea con l'evoluzione dello scenario di sicurezza.

 **Livello di rischio associato se questa best practice non fosse adottata:** Bassa 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Creazione di un modello di minaccia: un modello di minaccia aiuta a identificare e affrontare potenziali minacce alla sicurezza. 
  +  [NIST: Guida alla modellazione delle minacce del sistema incentrato sui dati ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+  [AWS Security Audit Guidelines ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+  [Bollettini sulla sicurezza ](https://aws.amazon.com/security/security-bulletins/)

 **Video correlati:** 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)