Willkommen bei Scribd!

CRM Proposal: Extended OWASP Risk Rating Methodology (ORRM) : University of Twente

Hochgeladen von

0% fanden dieses Dokument nützlich (0 Abstimmungen)

82 Ansichten1 Seite

This document proposes enhancements to the OWASP Risk Rating Methodology (ORRM) framework for estimating risk associated with running web applications. It suggests: 1) standardizing the names and descriptions of likelihood and factor fields, 2) adding importance coefficients to factors to reduce information loss from averaging, and 3) determining importance coefficients from community feedback and incident data to continuously improve accuracy. The ORRM currently averages fields to determine likelihood and impact levels, but the proposed enhancements aim to make the risk estimates more informative and tailored.

Originalbeschreibung:

CRM

Originaltitel

Crm Proposal

Copyright

Verfügbare Formate

PDF, TXT oder online auf Scribd lesen

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Dieses Dokument melden

Copyright:

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

0% fanden dieses Dokument nützlich (0 Abstimmungen)

82 Ansichten1 Seite

CRM Proposal: Extended OWASP Risk Rating Methodology (ORRM) : University of Twente

Hochgeladen von

owais800

Copyright:

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

Zu Seite

Sie sind auf Seite 1von 1

Im Dokument suchen

CRMProposal:ExtendedOWASPRiskRatingMethodology(ORRM)

OwaisAhmed,SantiagoAragn,
VladyslavCherednychenko,MohammedHabib
UniversityofTwente

WeaimtoanalyzetheOWASPRiskRatingMethodology(ORRM)proposedin[1].The
methodologypresentsaframeworktoestimateriskassociatedwithrunningwebapplication.
ORRMtriestostriketherightbalancebetweenusabilityanddetailnessinordertotoprovide
accurateriskestimateswhichaidsinmakinginformeddecisions.
TheORRMapproachisbasedonthetraditionalriskmodel:

Risk=Likelihood*Impact

Tocomputetheseverityoftheriskitestimatesthelikelihoodofthreatagentfactors(LTF)and
vulnerabilityfactors(LVF)andtheimpactoftechnicalfactors(ITF)andbusinessfactors(IBF)

Eachfactoranditslikelihoodconsistofdifferentfieldsthathelptodescribesucharea,i.e.LVF
isdescribedbyEaseofdiscovery,Easeofexploit,andIntrusiondetection.Eachofthese
fieldscanbegradedfrom0to9,Finallytocomputeagradefactor/likelihood,allthefieldsthat
describethefactors/likelihoodareaveragedandthenmappedtothesethreecategories:

LikelihoodandImpactLevels
0to<3

LOW

3to<6

MEDIUM

6to9

HIGH

WewouldliketohighlightthreepossibleenhancementsthatcanbeappliedtotheORRM
framework.
Thefieldsdescribingthelikelihoodandfactorscouldhavemorestandardizednames
anddescriptions,i.e.FAIRconceptscouldbeused[2].
Theaverageofallthefactorsdescribinglikelihoodandimpactproducesahuge
informationloss.Moreover,therearefactorsthatbyitsownnatureshouldcontribute
moretotheriskthanothers,i.e.forsomeapplicationtheLossofaccountabilityisnot
asimportantastheLossofavailability.Thus,weproposetoaddanimportance
coefficient(IC)toeachofthefields.
TocontributetotheOWASPcommunityweproposetocomputetheICofeachfield
basedonthefeedbackgivenbythecommunity,i.e.adatabasecontainingweb
applicationtypesandcoefficientsused.Moreover,ifacompanyXusedasetof
coefficientsSandafteranincidenttheestimatedriskdiffersfromthereality,Xcanbe
fedintothedatabasesystemwiththisinformationandusingbayesianprobabilityamore
accuratesetofcoefficientsScanbecomputed.
[1]OWASPRiskRatingMethodology.Availableat:
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

[2]JackA.Jones,(2005)AnIntroductiontoFactorAnalysisofInformationRisk(FAIR)RiskManagementInsight

Das könnte Ihnen auch gefallen

Agile Risk Management
Von Everand
Agile Risk Management
Alan Moran
Noch keine Bewertungen
Causa y Riesgo
Dokument4 Seiten
Causa y Riesgo
Edward Mendoza
Noch keine Bewertungen
Mathematical Foundations of Risk Measurement
Von Everand
Mathematical Foundations of Risk Measurement
Terry Watsham
Noch keine Bewertungen
Causa y Riesgo
Dokument4 Seiten
Causa y Riesgo
Hseq Consultores
Noch keine Bewertungen
The Fundamentals of Risk Measurement
Von Everand
The Fundamentals of Risk Measurement
Christopher Marrison
Noch keine Bewertungen
IISITv6p595 615nikolic673 PDF
Dokument21 Seiten
IISITv6p595 615nikolic673 PDF
Jack Misterouffe
Noch keine Bewertungen
A Fuzzy Risk Assessment Model (FRAM) For Risk Management (RM)
Dokument10 Seiten
A Fuzzy Risk Assessment Model (FRAM) For Risk Management (RM)
SergiuSergiu
Noch keine Bewertungen
Operational Risk - COSO Re-Examined
Dokument4 Seiten
Operational Risk - COSO Re-Examined
HavrisAlex
Noch keine Bewertungen
Risk Assessment & Statistical Sampling in Audit
Dokument21 Seiten
Risk Assessment & Statistical Sampling in Audit
aymen marzouki
Noch keine Bewertungen
BPMN - Risk
Dokument22 Seiten
BPMN - Risk
Mariano Soto
Noch keine Bewertungen
XIX Paper 59
Dokument15 Seiten
XIX Paper 59
saminasritn
Noch keine Bewertungen
ISO, CMMI and PMBOK Risk Management A Comparative Analysis
Dokument11 Seiten
ISO, CMMI and PMBOK Risk Management A Comparative Analysis
d
Noch keine Bewertungen
21 - Rsik Management1
Dokument93 Seiten
21 - Rsik Management1
rajesh bathula
Noch keine Bewertungen
Important Definations - Risk Managment
Dokument11 Seiten
Important Definations - Risk Managment
omer
Noch keine Bewertungen
A. Material 1) Failure Modes and Effect Analysis: I. Aterial and Ethod
Dokument7 Seiten
A. Material 1) Failure Modes and Effect Analysis: I. Aterial and Ethod
Lilamala Lilavelika
Noch keine Bewertungen
Hazard Identification SKYbrary Aviation Safety
Dokument13 Seiten
Hazard Identification SKYbrary Aviation Safety
Toto Subagyo
Noch keine Bewertungen
Reselle M. Morden Activity 1 - Case Study
Dokument4 Seiten
Reselle M. Morden Activity 1 - Case Study
Leynard Collado
Noch keine Bewertungen
Applied Soft Computing Journal: Jindong Qin, Yan Xi, Witold Pedrycz
Dokument14 Seiten
Applied Soft Computing Journal: Jindong Qin, Yan Xi, Witold Pedrycz
Esteban Cordero
Noch keine Bewertungen
Risk Management Guide: Risk Assessment vs. Risk Analysis vs. Risk Management
Dokument10 Seiten
Risk Management Guide: Risk Assessment vs. Risk Analysis vs. Risk Management
Maajith Marzook
Noch keine Bewertungen
AMLA Risk Assessment Methodology Published 22 Dec 2018
Dokument30 Seiten
AMLA Risk Assessment Methodology Published 22 Dec 2018
yin920
100% (1)
Risk 2
Dokument10 Seiten
Risk 2
Asad Munir
Noch keine Bewertungen
Industrial Hygiene
Dokument3 Seiten
Industrial Hygiene
Kukuh Widodo
Noch keine Bewertungen
Information Security Risk Assessment, Aggregation, and Mitigation
Dokument11 Seiten
Information Security Risk Assessment, Aggregation, and Mitigation
pawan sharma
Noch keine Bewertungen
1 s2.0 S0263786313001245 Main PDF
Dokument14 Seiten
1 s2.0 S0263786313001245 Main PDF
Jayaletchumi Moorthy
Noch keine Bewertungen
Assignment 2: HU-170 Risk Management
Dokument2 Seiten
Assignment 2: HU-170 Risk Management
Amr Eltahan
Noch keine Bewertungen
Financial Risk Management
Dokument21 Seiten
Financial Risk Management
Lianne Esco
100% (4)
Managerial Economics
Dokument59 Seiten
Managerial Economics
Jaishan Kashyap
Noch keine Bewertungen
Ti20100400006 93418521
Dokument10 Seiten
Ti20100400006 93418521
studydatadownload
Noch keine Bewertungen
302 Blom - 0127130504 Final Paper 4 18 13 PDF
Dokument9 Seiten
302 Blom - 0127130504 Final Paper 4 18 13 PDF
Bro Edwin
Noch keine Bewertungen
Unit - %
Dokument14 Seiten
Unit - %
402 ABHINAYA KEERTHI
Noch keine Bewertungen
Process Safety Capability Studies
Dokument35 Seiten
Process Safety Capability Studies
dmrpanda9940
100% (1)
Risk Management Process - What Are The 5 Steps
Dokument6 Seiten
Risk Management Process - What Are The 5 Steps
Javeed A. Khan
Noch keine Bewertungen
Implementing Major Accident Hazard Management - Silo Busting in Practice
Dokument19 Seiten
Implementing Major Accident Hazard Management - Silo Busting in Practice
Jorge D Balsero
Noch keine Bewertungen
Risk Management
Dokument12 Seiten
Risk Management
ParasYadav
Noch keine Bewertungen
XIX Paper 59
Dokument15 Seiten
XIX Paper 59
Darmawan
Noch keine Bewertungen
Assignment 4
Dokument3 Seiten
Assignment 4
Shrestha Tokin
50% (2)
Risk Management System For ERP Software Project: Abstract-ERP Systems Are Complex Software Systems That
Dokument6 Seiten
Risk Management System For ERP Software Project: Abstract-ERP Systems Are Complex Software Systems That
Syed Faizan Haider
Noch keine Bewertungen
Riskmanagement Process
Dokument61 Seiten
Riskmanagement Process
Nugi Dragneel
Noch keine Bewertungen
Xecutive Ummary: T M S M S
Dokument3 Seiten
Xecutive Ummary: T M S M S
neha1009
Noch keine Bewertungen
A Model of Risk Management in Globalizing Companies
Dokument11 Seiten
A Model of Risk Management in Globalizing Companies
Gabriel Ribeiro
Noch keine Bewertungen
Quantitative Risk Analysis
Dokument159 Seiten
Quantitative Risk Analysis
Joao Santos
100% (11)
Research Article: Adaptive Failure Identification For Healthcare Risk Analysis and Its Application On E-Healthcare
Dokument18 Seiten
Research Article: Adaptive Failure Identification For Healthcare Risk Analysis and Its Application On E-Healthcare
Alejandro Cardona
Noch keine Bewertungen
Summary SRM
Dokument7 Seiten
Summary SRM
adel
Noch keine Bewertungen
Risk Management Is The Identification, Evaluation, and Prioritization of
Dokument8 Seiten
Risk Management Is The Identification, Evaluation, and Prioritization of
kubs arain
Noch keine Bewertungen
1 CH3 Formulating Risk Exposure CLO3 STD
Dokument33 Seiten
1 CH3 Formulating Risk Exposure CLO3 STD
Ben John
Noch keine Bewertungen
#41627 Conducting Risk Assessment and Analysis - Edited
Dokument3 Seiten
#41627 Conducting Risk Assessment and Analysis - Edited
luche
Noch keine Bewertungen
Risk Management Governance KA - Draft For Review July 2019
Dokument27 Seiten
Risk Management Governance KA - Draft For Review July 2019
Wesly Garcia
Noch keine Bewertungen
ALARP IChemE Paper 2 Risk Tolerability
Dokument11 Seiten
ALARP IChemE Paper 2 Risk Tolerability
kzlp
Noch keine Bewertungen
Project Report
Dokument52 Seiten
Project Report
Shishir Dewangan
Noch keine Bewertungen
What Is A Risk Assessment - Definition From
Dokument3 Seiten
What Is A Risk Assessment - Definition From
Javeed A. Khan
Noch keine Bewertungen
The Use of FMEA For The Analysis of Corruption: A Case Study From Bulgaria
Dokument9 Seiten
The Use of FMEA For The Analysis of Corruption: A Case Study From Bulgaria
Adhi Sudrajat
Noch keine Bewertungen
Risk Management Is The Identification, Evaluation, and Prioritization of
Dokument5 Seiten
Risk Management Is The Identification, Evaluation, and Prioritization of
Gowrisanthosh Palika
Noch keine Bewertungen
Information Sciences: Nan Feng, Harry Jiannan Wang, Minqiang Li
Dokument17 Seiten
Information Sciences: Nan Feng, Harry Jiannan Wang, Minqiang Li
VinodDahiya
Noch keine Bewertungen
Risk Benchmarks For The Siting of Military Explosive Facilities
Dokument14 Seiten
Risk Benchmarks For The Siting of Military Explosive Facilities
Kyaw Kyaw Aung
Noch keine Bewertungen
IATA Risk Management Process
Dokument13 Seiten
IATA Risk Management Process
Valmir Andrade
Noch keine Bewertungen
Risk Assessment of India Automotive Enterprises Using Bayesian Networks
Dokument17 Seiten
Risk Assessment of India Automotive Enterprises Using Bayesian Networks
Punjabi Stars Update
Noch keine Bewertungen
Security Risk Intelligence
Dokument11 Seiten
Security Risk Intelligence
fuadin19
Noch keine Bewertungen
Definingtechnicalrisks
Dokument7 Seiten
Definingtechnicalrisks
Altan
Noch keine Bewertungen
Enterprise Risk Management in The Airline Industry
Dokument16 Seiten
Enterprise Risk Management in The Airline Industry
Abdurrhman
Noch keine Bewertungen
Monte Carlo Simulation Quantitative Risk
Dokument6 Seiten
Monte Carlo Simulation Quantitative Risk
Mr. K
Noch keine Bewertungen
2018 It Skills Salary Report Global Knowledge en WW PDF
Dokument54 Seiten
2018 It Skills Salary Report Global Knowledge en WW PDF
Sam
Noch keine Bewertungen
Javier Vazquez Vidal & Henrik Ferdinand Nölscher - Hardwear Training
Dokument3 Seiten
Javier Vazquez Vidal & Henrik Ferdinand Nölscher - Hardwear Training
owais800
Noch keine Bewertungen
OpenSAP Escm1 All Units Presentation
Dokument70 Seiten
OpenSAP Escm1 All Units Presentation
owais800
Noch keine Bewertungen
Audit Aging of Receiveables Using Excel Pivot Tables
Dokument8 Seiten
Audit Aging of Receiveables Using Excel Pivot Tables
owais800
Noch keine Bewertungen
Thesis Final Version
Dokument37 Seiten
Thesis Final Version
owais800
Noch keine Bewertungen
Msc-Thesis Christina Hoefer 2013-01-10
Dokument99 Seiten
Msc-Thesis Christina Hoefer 2013-01-10
owais800
Noch keine Bewertungen
Jan Willem Beusink
Dokument236 Seiten
Jan Willem Beusink
owais800
Noch keine Bewertungen
ISO27k Model Policy On Change Management and Control
Dokument10 Seiten
ISO27k Model Policy On Change Management and Control
owais800
Noch keine Bewertungen
University of Twente Campus Mao
Dokument2 Seiten
University of Twente Campus Mao
owais800
Noch keine Bewertungen
Hacking at Mach Speed
Dokument52 Seiten
Hacking at Mach Speed
owais800
Noch keine Bewertungen
Chapter Bylaws Revised v0.4
Dokument7 Seiten
Chapter Bylaws Revised v0.4
owais800
Noch keine Bewertungen