Lo que es interesante, las principales vulnerabilidades que descubrí en las organizaciones no eran técnicas (también es cierto para ITSEC).
Como vulnerabilidad me refiero a todo, eso es una probabilidad creciente de un mal evento o impacto de este evento. La vulnerabilidad no es lo mismo que amenaza: amenaza cuando se materializa hace daño.
Algunos ejemplos de vulnerabilidades:
- ¿Qué debo aprender si quiero dominar la ciberseguridad?
- Cómo saber si mi Mac tiene un virus
- ¿Qué tan seguro es OpenSSH?
- ¿Andrew Tanenbaum escribirá una sexta edición de Computer Networks?
- ¿Qué es el ransomware Zcrypyt?
- La organización no ha identificado todos los activos propios.
- Sin política de seguridad, procedimientos para la protección de algunos activos.
- Aunque la política de seguridad está escrita, nadie verifica el cumplimiento.
- Nadie de la alta dirección es responsable de la seguridad.
- Los análisis de riesgo nunca se realizaron.
- Todos pueden ir a todas partes a través del edificio.
- No se realizan copias de seguridad sistemáticas de datos importantes.
- El soporte técnico para la infraestructura crítica es deficiente.
- La conciencia de seguridad es de bajo nivel en todo el personal.