Threat and Risk Assessment of Web Applications – Bc. Mária Kubicová

Anotace:

Hodnotenie hrozieb a rizík (Threat and Risk Assessment - TRA) je struktúrovaný proces používaný na identifikáciu potenciálnych hrozieb kybernetickej bezpečnosti, posúdenie ich vplyvu a určenie stratégií na ich zmiernenie. Hoci je TRA široko podporovanými priemyselnými štandardmi, mnohé zavedené metodiky nie sú vhodné pre iteratívnu a rýchlu povahu agilného vývoja. Táto práca rieši túto medzeru hodnotením bežne používaných rámcov modelovania hrozieb a hodnotenia rizík a analýzou výziev, ktorým agilné tímy čelia pri integrácii týchto procesov. Na základe tejto analýzy sa prehodnocovala a aktualizovala súčasná metodológia TRA založená na programe Excel, ktorá sa používa v spoločnosti Siemens Healthineers, aby lepšie zodpovedala špecifickým potrebám agilného vývoja webových aplikácií. Revidovaná metodika sa implementovala na prebiehajúcom projekte webovej aplikácie v spoločnosti Siemens Healthineers a zhodnotila prostredníctvom spätnej väzby tímu a praktického použitia. Výsledky naznačujú, že aktualizovaná metodológia TRA je časovo úsporná aj účinná, zlepšuje pochopenie bezpečnosti a zároveň sa bez problémov začleňuje do agilných pracovných postupov. …víceméně

Abstract:

Threat and Risk Assessment (TRA) is a structured approach used to identify potential cybersecurity threats, assess their impact, and determine mitigation strategies. While TRA is widely supported by industry standards, many established methodologies are not well suited to the iterative, fast-paced nature of agile development. This thesis addresses that gap by evaluating commonly used threat modelling and risk assessment frameworks and analysing the challenges agile teams face in integrating these processes. Building on this analysis, the current Excel-based TRA methodology used at Siemens Healthineers is reviewed and updated to better align with the specific needs of agile web application development. The revised methodology is implemented on an ongoing web application project at Siemens Healthineers and assessed through team feedback and practical application. Findings indicate that the updated TRA approach is both time-efficient and effective, enhancing security understanding while fitting seamlessly into agile workflows. …víceméně