Descubrir vulnerabilidades es importante, pero ser capaz de estimar el riesgo asociado para la empresa es igualmente importante. Al principio del ciclo de vida, se puede identificar problemas de seguridad en la arquitectura o diseño, utilizando modelos de amenazas. Posteriormente se pueden encontrar problemas de seguridad utilizando revisión de código o pruebas de penetración. O los problemas podrían no ser descubiertos hasta la aplicación esté en producción, y sea comprometida.

Al seguir el presente enfoque, es posible estimar la severidad de todos estos riesgos hacia la empresa, y hacer una decisión informada sobre aquello a hacer con estos riesgos. Tener un sistema establecido para medir los riesgos ahorrará tiempo y eliminará las discusiones sobre prioridades. El sistema ayudará a garantizar la empresa no sea distraída por riesgos menores mientras se ignora riegos más serios, los cuales no se comprenden bien.

Los autores han intentado hacer este modelo simple de utilizar, manteniendo al mismo tiempo los detalles suficientes para realizar estimaciones. Existe una sección sobre la personalización, para obtener más información sobre como adaptar el modelo para utilizarlo en una organización específica.

Enfoque

Existen muchos diferentes enfoques para el análisis del riesgo. Existe una sección de referencia para algunas de las más comunes. El enfoque de OWASP presentado se basa en estas metodologías estándar, y esta personalizado para la seguridad de aplicaciones.

Se inicia con el modelo estándar.

Riesgo = Probabilidad * Impacto

En las secciones constituyendo esta metodología, los factores implicados en la “Probabilidad” e “Impacto” para la seguridad de aplicaciones se desglosan. El profesional en evaluaciones debe mostrar como cambiarlos para determinar la gravedad general del riesgo.

• Identificar un Riesgo
• Factores para Estimar la Probabilidad
• Factores para Estimar el Impacto
• Determinar la Severidad del Riesgo
• Decidir aquello a Arreglar
• Personalizar el Modelo para la Medición del Riesgo

Esta información es parte de la Guía para Pruebas de OWASP en su versión 4.

Fuente:

https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents