Priorizar problemas de segurança
Gere a lista de ameaças com maneiras de reduzir ou eliminar riscos e trabalhe com seus colegas para atribuir prioridades.
Escolher a estrutura de prioridade
O exercício de priorização deve seguir o limite interno de bugs de segurança criado pela sua organização.
Para fins de referência, o limite interno de bugs usado pelos engenheiros da Microsoft é semelhante à tabela abaixo:
Ícone | Gravidade | Descrição |
---|---|---|
Crítico | Pode causar um impacto crítico para os usuários do sistema. Exemplos incluem violações que envolvem a divulgação de informações confidenciais e ameaças que exigem o envolvimento dos setores legal e de privacidade. | |
Importante | Pode causar um impacto sério para os usuários do sistema. Exemplos incluem inutilizar um sistema sem que haja soluções alternativas conhecidas. | |
Moderado | Pode causar um impacto moderado para os usuários do sistema. Exemplos incluem problemas de disponibilidade com soluções alternativas possíveis. | |
Baixo | Pode causar baixo impacto para os usuários do sistema. | |
Informações | A ameaça potencial foi considerada, avaliada e considerada não relevante. |