Suosituksena on ottaa uhkamallinnus osaksi tuotekehitysprosessia sisällyttämällä se tuotetiimin tehtävälistalle joko tärkeimpien toiminnallisten vaatimusten hyväksyntäkriteerinä tai omana erillisenä tehtävänään, joka on linkitetty toiminnalliseen vaatimukseen. Näin uhkamallinnustehtävät säilyvät sopivan kokoisina ja asioista keskustellaan ajoissa, jolloin tarvittavien muutosten tekeminen on helpointa ja edullisinta.
Mikäli tuotetiimi toimii Scrum-viitekehyksen mukaisesti, uhkamallinnusta ei yleensä kannata tehdä osana työjakson suunnittelua (Sprint Planning) vaan pikemminkin työjakson (sprint) aikana. Tiimi voi esimerkiksi poimia työjakson sisältöön tulevien työjaksojen toiminnallisuuksien uhkamallinnustehtäviä, jolloin uhkamallinnus kulkee 1-2 työjaksoa toteutusta edellä.
Uhkamallinnuksen tekeminen edeltävällä työjaksolla ehkäisee myös sitä, että työjakso epäonnistuisi ilmenevän lisätyön vuoksi. Uhkamallinnuksen käytännön aikataulutus on myös vapaampaa, jos se ei kohdistu juuri sillä hetkellä toteutuksen alaisena olevaan toiminnallisuuteen.
Uhkamallinnuksen voi myös suorittaa toteutuksen jälkeen. Vaikka se ei tuolloin pystykään ennustamaan tietoturvaongelmia, toimii se silti erinomaisena retrospektiivinä. Jälkikäteisen uhkamallinnuksen tulokset ovat usein konkreettisempia ja uhkamallinnus toimiikin hyvänä sovelluksen tietoturvatarkastusta edeltävänä aktiviteettina.