Risco e análise de ameaças

Um post rápido do Anton Chuvakin me levou a uma discussão interessante sobre como CxOs preenchem a variável "Ameaça" em suas equações de Risco. É interessante ver o quanto se evoluiu para pedir a severidade de vulnerabilidades mas sem grandes avanços na forma como medimos a presença e o nível de ameaças para nossa organização. Ok, temos várias tentativas, como o Internet Storm Center do SANS, Security Focus e outros. Porém é tudo muito "homogêneo" e tecnológico. O quanto uma empresa de um determinado segmento deve se preocupar com roubo de dados por terceiros, por exemplo? Ela pode medir o quanto isso é possível, mas e quão provável é que ela sofra uma tentativa dessas? Quantas pessoas com Meios, Motivos e Oportunidades existem para explorar cada tipo de vulnerabilidade?

Acho que é um nicho interessante que pode ser explorado pelo mercado. O pessoal de seguros pode já ter metodologias e processos interessantes para trabalhar com isso. Também é um campo interessante para que as organizações evoluam em seus programas internos de Segurança da Informação. Não me lembro de ter visto algo parecido fora de bancos.