Estoy revisando NIST SP800-30 rev 1 y tengo es difícil entender cómo determinan la distribución de valores dentro de la matriz de riesgo. En el documento, definen valores semicualitativos. Supongo que estos valores se utilizan en el cálculo; sin embargo, no se proporcionan los cálculos. Estoy tratando de calcular el resultado mediante programación.
Aquí hay un ejemplo directamente de la guía:
Miintentodeusar[Probabilidaddeiniciación]*[Probabilidaddeocurrencia],Estonoproducelosmismosresultadossegúnlasescalasproporcionadas.
¿Cuál es la fórmula correcta para calcular esto?