- La gestión de vulnerabilidades útil no consiste en corregir todo de inmediato, sino en reducir la exposición real donde más impacto puede tener sin romper la operación.
- Los acuerdos de nivel de servicio (SLA) deben definirse según criticidad del servicio, exposición y capacidad de ejecución; si todos los hallazgos se tratan como urgentes, la organización pierde foco.
- Las excepciones pueden ser necesarias, pero solo funcionan si están gobernadas: responsable del riesgo, medidas compensatorias, fecha de revisión, caducidad y cierre por defecto.
Identidades en una pyme: MFA, SSO y el “mínimo viable” que ayuda a reducir riesgo de forma medible
La identidad es un control de negocio, no solo de TI: proteger correo, accesos remotos, herramientas financieras y cuentas administrativas ayuda a reducir una parte relevante del riesgo operativo, de fraude y de interrupción.