A medida que aumentan los avances tecnológicos de una manera constante, los errores humanos al desarrollar programas se tornan más comunes; a esto le llamamos vulnerabilidad. Esta cuestión abre las puertas a atacantes que se aprovechan de la vulnerabilidad, con el propósito de comprometer la confidencialidad, integridad y disponibilidad de la empresa.
Las herramientas utilizadas para el escaneo de vulnerabilidades se encuentran en una lista de entradas llamada Common Vulnerabilities and Exposure (CVE), identificada explícitamente para detectar estas vulnerabilidades previamente descubiertas, informando al protector el momento exacto en el que el ataque fue realizado. Dichas herramientas existen como código abierto, así también como código propietario. Uno requiere una licencia para mantener reportes mensuales en un formato más amigable. Otros no requieren una compra de licenciamiento que contiene la misma herramienta que los otros programas solo sin contar un generador de reportes gerencial. Sin embargo, la instalación de las herramientas compradas usualmente es más fácil de instalar en vez de las que son de código abierto.
Para la protección de la información, es fundamental la realización de un escaneo mensualmente, ya que las vulnerabilidades siempre van en crecimiento y son de constante detección. Una vulnerabilidad crítica puede comprometer una infraestructura completa, lo cual podemos interpretar como una brecha de seguridad, de la que se aprovechan los ciberdelincuentes.
Las herramientas de detección pueden ser automatizadas para eficientizar el tiempo invertido de un analista de seguridad. Aunque los escaneos se pueden ejecutar de forma automática, pueden generar un sin número de vulnerabilidades que no son reales, llamados falso positivo. No obstante, un analista de seguridad certificado cuenta con el conocimiento necesario para descartar los falsos positivos, y dar menos cabida a vulnerabilidades innecesarias.
El departamento de riesgos junto con el departamento de seguridad de la información está encargado de realizar análisis de riesgo, los cuales deben de ser constantes, ya que existen diferentes niveles de impacto dependiendo de la naturaleza del negocio por una brecha de seguridad. Al realizarlas, logramos verificar los efectos de las vulnerabilidades en el sistema, y nos permite valorar las prioridades al momento de corregirlas; éstas no ocurren simplemente al descargar un parche. Usualmente, acontecen de una buena configuración del programa para cerrar la brecha. Existen vulnerabilidades que en la actualidad ya no contienen parche o soportes de seguridad, convirtiéndolos en versiones obsoletas. Estos casos enfatizan la importancia de conocer el ciclo de vida de productos tecnológicos para la protección ante las vulnerabilidades.