Esiste una metodologia, un framework o uno standard predefinito, globalmente accettato, specifico per il calcolo dell'impatto aziendale dei problemi di vulnerabilità tecnici (Rete, Web, Mobile ..)?
Calcolare e calcolare gli impatti sono le preoccupazioni principali che sto ricercando.
In realtà deve essere fatto business per azienda, ma di solito si riduce a quantificare l'impatto in base alla quantità di denaro che l'evento di rischio potrebbe causare in termini di mancati guadagni, l'entità del danno che si verificherebbe per il marchio e lo stato delle aziende nel settore e / o per le ricadute legali (e soprattutto se tale ricaduta legale potrebbe includere un crimine).
Potresti trovare ciò che stai cercando da Open Group: link
o il Risk Management Institute: link
Ci sono alcuni framework che valutano l'impatto sul business delle vulnerabilità tecniche, ma alla fine tutto si riduce alla domanda
How much this specific vulnerability affect my business and to what extend?
Ad esempio, per alcuni siti Web la vulnerabilità di xss potrebbe non essere considerata critica perché non ha messo molto rischio per il loro obiettivo aziendale o per i potenziali clienti, ma per alcuni siti web potrebbe causare la perdita del loro cliente, danneggiare la loro attività obiettivo.
Quindi, prima di accettare ciecamente qualsiasi norma, valuta i tuoi obiettivi di business e l'impatto di eventuali bug tecnici sulla tua attività in base ai tuoi obiettivi di business e quindi categorizza le vulnerabilità di conseguenza
Leggi altre domande sui tag web mobile network vulnerability impact