Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • QuantitativeRiskAnalysisWorksheetTemplate Tarea Session5

    Cargado por

    Saul Ramos
    7 vistas5 páginas

    Título original

    QuantitativeRiskAnalysisWorksheetTemplate Tarea Session5 (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    XLS, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como XLS, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    7 vistas5 páginas

    QuantitativeRiskAnalysisWorksheetTemplate Tarea Session5

    Cargado por

    Saul Ramos

    Copyright:

    © All Rights Reserved
    Descargue como XLS, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    RISK MANAGEMENT

    Quantitative Risk Analysis Worksheet Pilot Risk Matrix Only


    Project Name: Aplicaciones Web 15 riesgos minimo Injection ScrossSiteScripting Auttenticacion de Usuarios

    Riesgo Rango & ID Declaración de riesgos y Categoría Risk Analysis Matrix Estrategia de Respuesta a los Riesgos y Planificación de la Respuesta
    Categoria de Riesgo Impacto Quantitative Risk Impact
    Risk Rank ID Alternative ID # Descripción de riesgo Punteo Punteo Final Riesgo Estrategia de Plan de Acción de Respuesta
    Dueño Inicial de Riesgo puede ocurrir Cronograma Cronograma Costo Score Impacto Cronograma Respuesta
    Riesgos en Probabilidad (Impacto) Costo (Días)
    Impacto Costo $

    Utilizar el método de codificación adecuado para


    1 RS-01 Inyección de direcciones URL (Injection) Operational Engineering 4 - High 10 - Very High 10 - Very High 40 40 80 10.00 Q 5,500.00 Mitigate Threat
    evitar la inyección de código malicioso en la URL

    Utilice siempre la validación de los datos de


    2 RS-02 Ataque XSS (cross site scripting) Strategic Engineering 4 - High 2 - Low 7 - High 8 28 36 15 Q 4,000.00 Accept Threat entrada para eliminar cualquier carácter no
    deseado.

    3 RS-03
    Ataques de forzamiento de contraseña Tecnologic Engineering 3 - Moderate 7 - High 7 - High 21 21 42 8 Q 2,500.00 Accept Threat
    Implementar un sistema de verificación en dos
    (Autenticacion de usuarios) paso

    No ejecutar codigo directamente con datos


    4 RS-04 XSS Persistente Operational Engineering 3 - Moderate 2 - Low 7 - High 6 21 27 5 Q 2,000.00 Mitigate Threat
    importantes en el codigo de la pagina.

    Encriptar todos los datos en trafico imporntantes


    5 RS-05 Robo de datos personales (scraping) Legal Engineering 2 - Low 10 - Very High 7 - High 20 14 34 10 Q 5,000.00 Avoid Threat
    tanto para la empresa como para el usuario

    No utilizar sentencias SQL directamente en el codigo


    6 RS-06 Manipulacion de bases de datos (SQL Injection) Strategic Engineering 4 - High 2 - Low 10 - Very High 8 40 48 10 Q 10,000.00 Avoid Threat
    fuente.
    Realizar validaciones a las solicitudes realizadas por el
    7 RS-07 Cross-Site Request Forgery Tecnologic Engineering 2 - Low 7 - High 7 - High 14 14 28 10 Q 10,000.00 Mitigate Threat usuarios agregando un token anti-csrf para validar
    cada una de las solicitudes
    Validar todas las redirecciones abiertas creando una
    lista de direcciones aceptas y poder evitar que un
    8 RS-08 Open Redirect (Redirecciones abiertas) Strategic Engineering 3 - Moderate 10 - Very High 10 - Very High 30 30 60 10 Q 100,000.00 Mitigate Threat
    atacante pueda
    No dejar en textodirigir
    planoauna
    un usuario a una
    conexión página
    de base de
    datos debido a que losfraudulenta
    que tengan acceso al código
    podran ver las credenciales y asi darles acceso a
    9 RS-09 Database configuration hardcoded Operational Engineering 3 - Moderate 10 - Very High 10 - Very High 30 30 60 10 Q 100,000.00 Mitigate Threat
    poder acceder a la base de datos. Encriptar los datos
    de conexión de la base de datos u disparcer la
    configuración en el código.
    10 RS-10 #VALUE! #VALUE! #VALUE!

    11 RS-11 #VALUE! #VALUE! #VALUE!

    12 RS-12 #VALUE! #VALUE! #VALUE!

    13 RS-13 #VALUE! #VALUE! #VALUE!

    14 RS-14 #VALUE! #VALUE! #VALUE!

    15 RS-15 #VALUE! #VALUE! #VALUE!

    INTEGRANTES DEL GRUPO


    No. Carné Nombre:
    1693-18-16332 Alejandro Javier Chan Escobar
    Impact Definitions

    Rating --> Very Low Low Moderate High Very High

    Cost Impact of Insignificant cost


    <5% cost increase 5-10% cost increase 10-20% cost increase >20% cost increase
    Threat increase

    Cost Impact of Insignificant cost


    Opportunity reduction <1% cost decrease 1-3% cost decrease 3-5% cost decrease >5% cost decrease

    Schedule Impact of Insignificant slippage <1 month slippage 1-3 months slippage 3-6 months slippage >6 months slippage
    Threat

    Schedule Impact of Insignificant <1 month 1-2 months 2-3 months >3 months
    Opportunity improvement improvement improvement improvement improvement

    Probability 1–9% 10–19% 20–39% 40–59% 60–99%


    se que de

    Risk Matrix
    5 - Very High
    4 - High RS-06 / RS-02 RS-01
    Probability Rating 3 - Moderate RS-04 RS-03
    2 - Low RS-05
    1 - Very Low
    1 2 4 7 10
    Very Low Low Moderate High Very High
    Impact Rating
    15

    También podría gustarte