¿Existe alguna metodología, marco o estándar predefinidos y aceptados globalmente específicamente para calcular el Impacto en el Negocio de los problemas de vulnerabilidad técnicos (Red, Web, Móvil, etc.)?
La calificación y el cálculo de los impactos son preocupaciones clave que estoy investigando.
Realmente se debe hacer negocio por negocio, pero generalmente se reduce a cuantificar el impacto en función de la cantidad de dinero que el evento de riesgo podría causar en términos de pérdida de ingresos, la cantidad de daño que se le ocurriría a la marca y al estado de las empresas en la industria y / o las consecuencias legales (y especialmente si esas consecuencias legales podrían incluir delitos).
Puede encontrar lo que busca en Open Group: enlace
o el Instituto de gestión de riesgos: enlace
Hay un marco que evalúa el impacto en el negocio de las vulnerabilidades técnicas, pero al final todo se reduce a cuestión
¿Cuánto afecta esta vulnerabilidad específica a mi negocio y en qué medida?
Por ejemplo, para algunos sitios web, la vulnerabilidad xss puede no considerarse crítica porque no representó un gran riesgo para su objetivo comercial o para sus clientes potenciales, pero para algunos sitios web puede provocar que pierdan a su cliente y dañen su negocio. objetivo.
Por lo tanto, antes de aceptar ciegamente cualquier estándar, evalúe sus objetivos comerciales y el impacto de cualquier error técnico en su negocio en función de sus objetivos comerciales y, a continuación, categorice las vulnerabilidades en consecuencia
Lea otras preguntas en las etiquetas network vulnerability web mobile impact