技術的脆弱性の問題によるビジネスへの影響の計算
特に技術的(ネットワーク、Web、モバイルなど)の脆弱性の問題のビジネスへの影響の計算に関して、事前定義された、グローバルに受け入れられている方法論、フレームワーク、または標準はありますか?
影響のスコアリングと計算は、私が調査している重要な懸念事項です。
これは実際にはビジネスごとに行う必要がありますが、通常は、収益の損失という観点からリスクイベントが引き起こす可能性のある金額、発生する可能性のある損害の量に基づいて影響を定量化することになります。業界における企業のブランドとステータス、および/または法的フォールアウト(特にその法的フォールアウトに犯罪者が含まれる可能性がある場合)。
あなたはオープングループからあなたが探しているものを見つけるかもしれません: http://www.opengroup.org/
またはリスク管理研究所: https://www.theirm.org/media/886059/ARMS_2002_IRM.pdf
技術的な脆弱性のビジネスへの影響を評価するフレームワークがいくつかありますが、最終的にはすべてが疑問視されます
この特定の脆弱性は私のビジネスにどの程度影響し、どの程度影響しますか?
たとえば、一部のWebサイトでは、xssの脆弱性は、ビジネス目標や潜在的なクライアントに大きなリスクをもたらさなかったため、重大とは見なされない場合がありますが、一部のWebサイトでは、クライアントを失い、ビジネス目標を損なう可能性があります。
したがって、標準を盲目的に受け入れる前に、ビジネス目標と、ビジネス目標に基づいて技術的なバグがビジネスに与える影響を評価し、それに応じて脆弱性を分類します。