CVSS - Risiko ist nicht gleich Risiko

04. Dezember 2008, 23:00 Uhr   |  

Ein hohes technisches Risiko impliziert nicht zwingend ein hohes Risiko für den Geschäftsprozess. Dazu ein einfaches Beispiel: Das Schwachstellenmanagement meldet das Fehlen eines kritischen Patches auf einem Server und stuft das technische Risiko basierend auf CVSS als hoch ein. Die Überprüfung des Business Impacts auf Basis der Daten in der CMDB ergibt aber, dass der betroffene Server lediglich als Testserver in der internen Testumgebung dient. Es werden also keine geschäftskritischen Services unterstützt. Damit ist das Risiko für die Geschäftsprozesse im Gegensatz zum technischen Rating als gering einzustufen. Der Handlungsbedarf kann daher entsprechend niedrig priorisiert werden.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Unterschätztes Risiko

Verwandte Artikel

Default