The OWASP Risk Rating Methodology

https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

Descubrir vulnerabilidades es importante, pero poder estimar el riesgo asociado para el negocio es igual de importante. Al principio del ciclo de vida, uno
puede identificar problemas de seguridad en la arquitectura o el diseño mediante el uso de modelos de amenazas. Más tarde, uno puede encontrar
problemas de seguridad mediante la revisión de código o las pruebas de penetración. O es posible que no se descubran problemas hasta que la aplicación
esté en producción y se vea comprometida.

Siguiendo el enfoque aquí, es posible estimar la gravedad de todos estos riesgos para el negocio y tomar una decisión informada sobre qué hacer con
respecto a esos riesgos. Tener un sistema para calificar los riesgos ahorrará tiempo y eliminará las discusiones sobre las prioridades. Este sistema ayudará
a garantizar que la empresa no se distraiga con riesgos menores, al tiempo que ignora los riesgos más graves que se entienden menos.

Idealmente, habría un sistema de calificación de riesgo universal que estimaría con precisión todos los riesgos para todas las organizaciones. Pero una
vulnerabilidad que es crítica para una organización puede no ser muy importante para otra. Aquí se presenta un marco básico que debe ser personalizado
para la organización en particular.
Los autores se han esforzado por hacer que este modelo sea fácil de usar, manteniendo suficientes detalles para realizar estimaciones precisas de riesgo.
Consulte la sección a continuación sobre personalización para obtener más información sobre cómo adaptar el modelo para su uso en una organización
específica.
 Riesgo: Ejecuten Comandos arbitrarios

Probabilidad
Factores de agente de amenaza Factores de vulnera
Facilidad para
Nivel de habilidad Motivo Oportunidad Tamaño Descubrir

1 - No requiere 0 - Se requiere 2 - Desarrolladores,

habilidades 1 - Recompensa acceso completo o administradores de
tecnicas baja o nula recursos caros sistemas 2 - Complicado
Probabilidad general: 1.125 BAJO

Impacto técnico Impacto de neg

Pérdida de la Pérdida de Pérdida en Pérdida en

Confidencialidad Integridad Disponibilidad Responsabilidad Daño Financiero

2 - Datos mínimos 1 - Datos mínimos 1 - Menos del costo

no sensibles ligeramente 1 - totalmente para arreglar la
divulgados corruptos 0 - Ninguno rastreable vulnerabilidad
Impacto técnico general: 1.000 BAJO Impacto comercial general:
Impacto general: 1.375 BAJO

Gravedad general del riesgo = Probabilidad x Impacto

ALTO Medium High CRITICO

MEDIO Low Medium ALTO
Impacto
BAJO Note Low MEDIO
BAJO MEDIO ALTO
Probabilidad
 Factores de vulnerabilidad.
Facilidad para la Detección de
Explotación Conciencia Intrusión

1 - Detección activa
1 - Teoricamente 1 - Desconocido en aplicación
JO

Impacto de negocio

Daño en Violación de
Reputación No cumplimiento Privacidad

1 - Daño Mínimo 2 - violación menor 3 - Un individuo

Impacto comercial general: 1.750 BAJO
JO

Niveles de probabilidad e
impacto
0 to <3 BAJO
3 to <6 MEDIO
6 to 9 ALTO
 Nivel de Habilidad Motivo Oportunidad Tamaño
Se requiere acceso
completo o recursos
0 caros

No requiere habilidades
1 tecnicas Recompensa baja o nula

Desarrolladores,
administradores de
2 sistemas

Algunas Habilidades
3 tecnicas

Acceso especial o
4 Posible recompensa recursos requeridos Usuarios de intranet

Uso Avanzado de
5 computadoras Partners

Habilidades en Redes y
6 Programación Usuarios autenticados

Se requiere cierto acceso

7 o recursos

Habilidades en No se requiere acceso ni Usuarios de internet

9 Ciberseguridad Alta recompensa recursos anónimos
Facilidad de Descubrir Facil de Explotar Conciencia Detección de Intrusió

Detección activa en
Practicamente Imposible Teoricamente Desconocido aplicación

Dificil Dificil Registrado y revisado

Oculto

Facil

Ovio

Facil

Registrado sin revisión

Disponible desde
Disponible desde herramientas
herramientas automizadas automizadas Conocimiento Publico No Loegado
Perida de Confidencialidad Perdida de IntegridadPerdida de Disponibil Pérdida de responsabi

Datos mínimos Servicios secundarios

ligeramente corruptos mínimos interrumpidos totalmente rastreable

Datos mínimos no sensibles divulgados

Mínimo datos seriamente

corruptos

Datos críticos mínimos revelados, datos

no sensibles extensos revelados

Servicios primarios
mínimos interrumpidos,
Amplios datos servicios secundarios
Extensos datos críticos revelados ligeramente corruptos extensivos interrumpidos

Amplios datos seriamente Amplios servicios

corruptos primarios interrumpidos Posiblemente rastreable

Todos los datos Todos los servicios

Todos los datos divulgados totalmente corruptos. completamente perdidos Completamente anónimo
Daño Financiero Daño en la Reputació Incumplimiento Violación de la privacidad

Menos del costo para

arreglar la vulnerabilidad Daño Mínimo

violación menor

Efecto menor en la
ganancia anual. Un individuo

Pérdida de cuentas
importantes

Pérdida de buena
voluntad Clara violación cientos personas

Efecto significativo en la
ganancia anual Violación de alto nivel Miles Personas

Bancarrota Daño de marca Millones