Como usted sospecha, este es un problema de terminología. Probablemente estés buscando listas de vulnerabilidades, pero para estar seguro, me gustaría explicar un poco más.
Me temo que todo es bastante complicado, ¡pero al final merece la pena!
Antes de comenzar, debo señalar que hay muchos enfoques diferentes para la seguridad de la información que pueden tener su propia terminología (yo también soy un hombre ISO 27000). Por lo tanto, otras respuestas pueden usar una redacción diferente.
Por lo tanto, tiene su sistema en el que está trabajando y desea protegerlo de los daños: eso es la Seguridad de la información, la protección sistemática de la información de los daños.
Para que ocurra un daño, tiene que haber dos cosas. Una "amenaza", que es alguien que causará daño (ya sea deliberadamente o por accidente), y una "vulnerabilidad" que es una forma en que la amenaza puede hacer daño.
Dos ejemplos:
Su competidor ("amenaza") accede a su sistema a través de una inyección SQL ("vulnerabilidad") para robar su lista de clientes ("daño", específicamente una "pérdida de confidencialidad")
Joe en el envío ("amenaza") no puede descubrir cómo funciona su sistema ("vulnerabilidad") y siempre pone el valor incorrecto para la configuración de la manivela del widget. ("daño" - específicamente "pérdida de integridad").
Puede encontrar listas de amenazas y listas de vulnerabilidades en línea.
Sin embargo, las amenazas tienden a ser más fáciles de descubrir, ¿quién podría querer dañar tu sistema de manera realista? ¿Quién podría dañar accidentalmente tu sistema?
Por lo general, encuentras listas de vulnerabilidades. El top ten de OWASP es un excelente lugar para comenzar.
¿Dónde entra el riesgo en esto, entonces? El riesgo es una medida que combina la probabilidad de que una amenaza explote una vulnerabilidad con el daño que se produciría si lo hicieran.
La evaluación de riesgos se utiliza para determinar qué combinaciones de amenazas y vulnerabilidades tienen un riesgo mayor que el que usted quiere aceptar, por lo que sabe que necesita "tratarlas", hacer algo al respecto.
Por ejemplo, si todos sus competidores son honestos, y usted está manejando cuidadosamente su entrada de SQL, y todos saben quiénes son sus clientes de todas formas, entonces el riesgo en el ejemplo uno es muy bajo y por lo tanto no vale la pena preocuparse. (Bueno, al menos no vale la pena gastar dinero).
Alternativamente, si Joe es descuidado y la configuración incorrecta de la manivela del widget hará que su producto se incendie, entonces el riesgo es alto, y usted debe hacer algo sobre el Ejemplo 2 lo antes posible.
Esta es la cuestión, sin embargo, cada evaluación de riesgo es bastante única porque las amenazas y vulnerabilidades que enfrenta están en una combinación única. Algo así como la lista OWASP no es un atajo. Es más una lista de cosas que debe revisar para asegurarse de que no se haya perdido ninguna de ellas.