--Originally published at (Not so) Random talk
En el sector público y privado se tienen diferentes usos para la información y las nuevas tecnologías, como ya hemos visto eso conlleva a tener presentes una serie muy grande de peligros y vulnerabilidades latentes. Las diferentes compañías y empleados que generan las nuevas tecnologías deben no sólo ser capaces de reaccionar ante estas vulnerabilidades, sino también manejarlas y evaluarlas para poder otorgar un grado mayor de seguridad a los usuarios.
Los diferentes objetivos que conlleva el evaluar estos riesgos son:
- Encontrar peligros para la organización.
- Detectar vulnerabilidades dentro y fuera de la organización.
- Evaluar el impacto del explotamiento de dichas vulnerabilidades.
- Conocer el porcentaje de probabilidad de ser explotada de una vulnerabilidad.
Es decir, se lleva una evaluación que determinará el riesgo.
Los riesgos en las organizaciones deben ser vistos a partir de diferentes puestos de trabajo los cuales terminan abarcando todas las jerarquías. Los dirigentes deben saber tanto como los programadores sobre los riesgos que puede implicar el uso de la tecnología, convirtiendo la tarea del asesoramiento de riesgos algo realmente complicado.
Una manera de entender esto es lo siguiente: Digamos que se te pide que realices un formulario con la contraseña de la gente.
Hecho 1: El jefe, al no saber sobre riesgos acepta el trabajo aún sin especificar claramente que no se debe mostrar en algún lado esa información.
Hecho 2: El empleado al no saber sobre la seguridad de contraseñas ni peticiones, envía la contraseña dentro del url para que la página que le utiliza le pueda verificar.
Hecho 3: Un atacante se da cuenta del error y roba información cuando el producto sale a la venta.
Todo lo anterior da como resultado que la empresa quede en mala posición, se pierda dinero por la necesidad de arreglar el error, probablemente el programador sea despedido 
