• La gestión de vulnerabilidades útil no consiste en corregir todo de inmediato, sino en reducir la exposición real donde más impacto puede tener sin romper la operación.
  • Los acuerdos de nivel de servicio (SLA) deben definirse según criticidad del servicio, exposición y capacidad de ejecución; si todos los hallazgos se tratan como urgentes, la organización pierde foco.
  • Las excepciones pueden ser necesarias, pero solo funcionan si están gobernadas: responsable del riesgo, medidas compensatorias, fecha de revisión, caducidad y cierre por defecto.