Clasificación de la probabilidad

Enviado por Chuletator online y clasificado en Diseño e Ingeniería

Escrito el en español con un tamaño de 5,1 KB

 

Paso 1:

Identificar el riesgo

La persona que está realizando las pruebas recopila información de los agentes de amenaza involucrados, el ataque que se utilizará, la vulnerabilidad involucrada y el impacto de un exploit exitoso en el negocio. Se debe actuar pensando en que ocurra la opción del peor de los casos.

Paso 2:

Factores para estimar probabilidad

Una vez identificado el riesgo se debe determinar qué tan grave es. Esto se realiza por medio de factores que miden la probabilidad de que ocurra el riesgo categorizando en: Bajo, Medio o Alto.

  • Agente de amenazas:


    Estimar la probabilidad de que un ataque sea exitoso por parte de los grupos de amenazas.
  • Vulnerabilidades:


    Estimar la probabilidad que la vulnerabilidad implicada sea descubierta y explotada por los agentes de amenazas identificados.

Paso 3:

Factores para estimar el impacto

Existen dos tipos de impactos, el Técnico y el Comercial.

  • Impacto Técnico: Afecta sistemas informáticos, (Pérdida de confidencialidad, integridad y disponibilidad).

  • Impacto Comercial: Afecta el negocio (Reputación, imagen corporativa). Esta es la más importante

En base a lo anterior el cálculo consiste en contabilizar los activos comprometidos (Información, reputación, sistemas) y categorizarlos en una escala propuesta por OWASP del 1 al 9.

Paso 4:

Determinar la gravedad del riesgo

La estimación de probabilidad y la estimación de impacto se combinan para calcular la gravedad para el riesgo. Para

Entradas relacionadas: