El impacto de la amenaza generalmente se refiere al impacto en la confidencialidad, disponibilidad o integridad de la organización, el sistema o el conjunto de datos.
El impacto comercial es una estimación del daño a la organización en un sentido a largo plazo. En la mayoría de los casos, este término solo se refiere al impacto financiero real, pero en algunos casos puede incluir muchas otras dimensiones, como el posicionamiento en el mercado.
En muchos casos, estos dos impactos se representan con frecuencia como un acceso X e Y para que la empresa tenga una mejor visión de cómo se comparan los riesgos de una empresa.
Simplemente ponga la razón por la que desearía que esto fuera porque hay activos comerciales que pueden destruirse por completo o desconectarse, lo que casi no tendría ningún efecto en el negocio. Si en este caso hubiera una vulnerabilidad crítica muy fácil de explotar, puede calificarla como (Impacto de amenaza ALTO, Impacto de negocio BAJO)
... y al mismo tiempo, si este negocio tuviera otros servicios que, si estuvieran incluso ligeramente dañados o fuera de línea, crearían un GRAN impacto en el negocio y esos servicios tenían una vulnerabilidad muy pequeña que no causaría una pérdida de datos, pero puede ralentizar radicalmente el sitio, puede calificarlo como (Impacto de amenaza BAJO, Impacto de negocio ALTO)
En lugar de que una empresa califique todos los activos de manera equitativa e intente proteger todos los activos por igual, o persiga primero los problemas de impacto de ALTA Amenaza, es más importante priorizar aquellos que podrían tener el mayor impacto en el negocio.
Tener calificaciones separadas como esta ayuda a las empresas y los equipos de seguridad a enfocar mejor su tiempo y su dinero.