Apéndice B. El Manifiesto sobre la Modelización de Amenazas

Empecemos por definir un subconjunto en las comunidades de seguridad y privacidad compuesto por personas con lo que podríamos llamar un "metainterés" en el modelado de amenazas. Estas personas investigan métodos en un entorno académico, realizan modelado de amenazas como profesionales en empresas o como consultores, hablan sobre el tema en conferencias del sector y evangelizan el modelado de amenazas con regularidad. Estas personas creen y saben por experiencia que el modelado de amenazas es una práctica valiosa para desarrollar sistemas más seguros.

Este conjunto de individuos es la comunidad de modelado de amenazas. Siempre ha sido ruidosa y prolífica, pero desde 2017 empezó a ver cómo aumentaba el interés por el modelado de amenazas entre las empresas y los equipos de desarrollo de productos. En 2019-2020, empezó a calar entre la comunidad de modelado de amenazas la sensación de que había llegado el momento de desechar la creencia común de que el modelado de amenazas es un "arte" practicado por unos pocos expertos y empezar a considerarlo una disciplina que se puede enseñar (o, como dice acertadamente Chris Romeo, "más vale pillar que enseñar"). Al igual que otras disciplinas, el modelado de amenazas puede investigarse, medirse, explicarse, probarse, mejorarse, cuestionarse y debatirse; todos los procesos que conforman una disciplina de facto.

Hemos citado a muchos miembros de la comunidad de modelado de amenazas, ...