O que e OWASP Risk Rating Methodology?

A OWASP Risk Rating Methodology e uma metodologia aberta, publicada pela OWASP Foundation, para classificar riscos de seguranca de forma pragmatica e consistente. Diferente do CVSS — que avalia severidade tecnica isolada — o OWASP Risk combina Probabilidade (Likelihood) com Impacto tecnico e de negocio, chegando a um resultado mais proximo do risco real para a organizacao.

A metodologia usa uma abordagem semi-quantitativa: cada fator recebe uma nota de 0 a 9, e as medias de cada dimensao determinam a classificacao qualitativa (Baixo, Medio, Alto). A matriz Probabilidade x Impacto produz a severidade final (Informativo, Baixo, Medio, Alto ou Critico).

Como Usar Esta Calculadora

  1. Preencha os 16 fatores divididos em 4 grupos (Agente de Ameaca, Vulnerabilidade, Impacto Tecnico, Impacto de Negocio).
  2. Acompanhe os scores em tempo real — os cards superiores mostram Probabilidade, Impacto e Severidade Final.
  3. Veja a celula destacada na matriz de risco para entender o cruzamento das duas dimensoes.
  4. Copie o link compartilhavel para documentar no relatorio de pentest, ticket ou comunicacao. A URL preserva todas as selecoes.

Como e Calculado

Probabilidade (Likelihood)

= media(SL, M, O, S, ED, EE, A, ID)

  • Agente de Ameaca: SL, M, O, S
  • Vulnerabilidade: ED, EE, A, ID

Impacto (Impact)

= media(LC, LI, LAV, LAC, FD, RD, NC, PV)

  • Tecnico: LC, LI, LAV, LAC
  • Negocio: FD, RD, NC, PV

Cada dimensao e classificada por faixa:

  • 0 — 3: Baixo (LOW)
  • 3 — 6: Medio (MEDIUM)
  • 6 — 9: Alto (HIGH)

OWASP Risk vs CVSS: Quando Usar Cada Um?

Os dois sao complementares

Use CVSS para padronizar severidade tecnica de uma vulnerabilidade (util em CVEs, bases de scan, comunicacao com fornecedores). Use OWASP Risk quando precisa priorizar remediacao no seu contexto, considerando atacantes reais, detectabilidade e impacto no negocio. Em relatorios de pentest profissional, incluir ambos e uma boa pratica.

Para uma abordagem ainda mais madura — expressando risco em valores financeiros (R$ vs probabilidade anual) — veja nosso guia de CRQ: Quantificacao de Risco Cibernetico.

Boas Praticas

  • Calibre com stakeholders: envolva o time de negocio na pontuacao do Impacto de Negocio — engenharia frequentemente subestima dano reputacional e de compliance.
  • Documente a justificativa: o score sozinho e opaco. Anote por que escolheu cada nivel. Isso permite revisao posterior e consistencia entre avaliacoes.
  • Reavalie no retest: controles compensatorios (WAF, MFA, logs) podem reduzir a Probabilidade sem corrigir a vulnerabilidade em si.
  • Integre com gestao de risco: OWASP Risk e insumo, nao substituto. Combine com frameworks maiores como NIST RMF ou ISO 27005.
  • Consulte nosso guia completo: processo de gestao de vulnerabilidades.

Perguntas Frequentes

O que e OWASP Risk Rating Methodology?

Metodologia publicada pela OWASP para avaliar o risco de vulnerabilidades combinando Probabilidade (Likelihood) e Impacto (Impact). Cada dimensao e calculada a partir de 8 fatores pontuados de 0 a 9, e o risco final resulta de uma matriz 3x3.

Qual a diferenca entre OWASP Risk e CVSS?

CVSS avalia severidade tecnica isolada. OWASP Risk adiciona dimensoes de negocio e contexto do atacante, gerando uma classificacao proxima do risco real. Os dois sao complementares em relatorios profissionais.

Como a Probabilidade (Likelihood) e calculada?

Media de 8 fatores: 4 do Agente de Ameaca (Skill, Motive, Opportunity, Size) e 4 da Vulnerabilidade (Ease of Discovery, Ease of Exploit, Awareness, Intrusion Detection). Classificado em Baixo (0-3), Medio (3-6) ou Alto (6-9).

Como o Impacto (Impact) e calculado?

Media de 8 fatores: 4 de Impacto Tecnico (CIA + accountability) e 4 de Impacto de Negocio (financeiro, reputacao, compliance, privacidade). Mesmas faixas de severidade.

Como interpretar o resultado final?

A matriz Probabilidade x Impacto define a severidade final: Informativo, Baixo, Medio, Alto ou Critico. Alto e Critico exigem acao prioritaria. Use como insumo para priorizacao, considerando controles compensatorios e exposicao real.

Outras Ferramentas Gratuitas

Calculadora CVSS 3.1/4.0

Avalie severidade tecnica de vulnerabilidades pelo padrao FIRST.org. Complementar ao OWASP Risk.

Validador de Politica de Senhas

Teste senhas contra NIST, ISO e PCI-DSS. Avalia forca, entropia e tempo de quebra.

Precisa de Avaliacao de Risco Profissional?

Oferecemos pentest com relatorios priorizados por risco, gestao continua de vulnerabilidades e consultoria em frameworks de seguranca.

Solicitar Proposta