Tyypillisesti uhkamallinnus toteutetaan työpajatyyppisesti. Uhkamallinnustyöpajaan osallistuvat ne henkilöt, jotka tietävät sovelluksen tekniset yksityiskohdat arkkitehtuurista ja toteutuksesta. Kun uhkamallinnettavalla toiminnallisuudella on yhtymäkohtia pilvi-infrastruktuuriin, organisaation pilvitiimin edustajan tulisi osallistua uhkamallinnustyöpajaan. Paikalle kannattaa kutsua myös tuoteomistaja ja käyttökokemuksesta vastaava henkilö, mikäli uhkamallinnus tehdään täysin uudelle toiminnallisuudelle. Käytännössä 5-7 osallistujaa + työpajan fasilitoija on sopiva määrä. Fasilitoijan tulee olla ns. ulkopuolinen henkilö, joka ei itse osallistu uhkamallinnukseen. Esimerkiksi projektin tietoturva-asiantuntijaa, mikäli tällainen on nimetty. Fasilitoija ohjaa työpajan kulkua ja huolehtii aikataulusta. Työpajalle kannattaa varata 1-2 tuntia aikaa. Yli kahden tunnin työpajaa ei kuitenkaan kannata järjestää, jotta osallistuja pystyvät keskittymään käsiteltävään asiaan. Laajat kokonaisuudet kannattaakin jakaa heti useampaan työpajaan, jotta yksittäisen työpajan pituus ei ylitä kahta tuntia. Pienet toiminnallisuudet hoituvat nopeammin, jopa ns. kahvipöytäkeskusteluina, jotka dokumentoidaan. Työpajan voi järjestää sekä virtuaali- että läsnäolotyöpajana. Hybridimalli (osa osallitujista fyysisesti läsnä ja osa etänä) ei ole suositeltavaa elleivät sekä osallistujat että fasilitoija ole kokeneita toimimaan hybridimallissa. Hybridimallin heikkoutena on, että läsnäolevat osallistujat "unohtavat" etäyhteydellä osallistuvat henkilöt ja näin ollen virtuaaliosallistujien näkemykset ja ajatukset voivat jäädä huomioimatta. Virtuaaliosallistujat eivät myöskään näe, mikäli neuvotteluhuoneen tussitaululle piirretään tai kirjoitetaan asioita työpajan kuluessa. Virtuaalisesta työpajaa järjestettäessä on huolehdittava, että siitä, että työpajan toteuttamisessa käytetään DVV:n hyväksymiä ja työpajassa käsiteltävän tiedon luokitukselle soveltuvia työkaluja.
|