Estoy calculando la expectativa de pérdida (SLE / ALE) pero ¿dónde o cómo se obtienen los datos sobre las tasas anuales de ocurrencias para varias cosas? ¿Desde las simples tasas de falla de los discos duros hasta algo complejo como la explotación de los navegadores de clientes? ¿O qué tal la efectividad de los controles y cuánto pueden reducir el factor de exposición? Un ejemplo es el uso de las reglas certificadas de Snort Sourcefire VRT sobre las predeterminadas / sin suscripción.
Creo que puede encontrar que esta pregunta es tan grande en función y alcance que no encontrará esas listas definitivas (aunque también me encantaría ver una)
En público, es más probable que encuentre fallas en el hardware (tiempo de llegada o entre ellas) que en el software simplemente porque la ingeniería física se ocupará de esas cifras durante el ciclo de vida. Por supuesto, estudio de Google en su disco de nivel de consumidor Las unidades de disco eran interesantes, pero nuevamente, muy concentradas y claramente muestran que incluso si conoces las estadísticas de hardware físico, a veces la realidad pinta una imagen diferente (o al menos "más completa").
Habiendo dicho todo esto, puedo pensar en dos organizaciones que aman lidiar con las probabilidades de fallas: el gobierno / el ejército y las compañías de seguros. Tal vez esto pueda ayudar en el proceso de búsqueda?
Lea otras preguntas en las etiquetas risk-analysis risk exposure metrics