[…] Un alt aspect este cel legat de diferenţa între managementul riscului şi managementul vulnerabilităţilor (acesta presupune o succesiune a activităţilor de scanare, analiză a riscului, atenuare şi reluarea activităţilor). În ciuda confuziilor întâlnite, managementul riscului presupune mult mai multe variabile decât cele pe care le presupune managementul vulnerabilităţilor.
Există opinii care susţin că metodologii precum NIST 800-30 sau Octave sunt privite nu ca metodologii de evaluare a riscului, ci mai mult ca cicluri de management al vulnerabilităţilor. Şi aceasta plecând de la ideea că riscurile în mediul IT nu ar trebui evaluate plecând de la obiecte separate, ci plecând de la studierea fluxului de date din cadrul unui proces de afaceri.
În aceste condiţii, lucrând cu o astfel de metodologie obiecte precum serverul de aplicaţie şi baza de date sunt tratate separat, fără a scoate prea mult în evidenţă modul în care interacţionează şi cum gradul de risc la care este supus unul din obiecte afectează celălalt obiect.
Mai mult, o astfel de abordare nu ia în calcul utilizatorul final (care de exemplu într-un sistem de internet banking ar putea fi cu uşurinţă sursa unui atac – vezi phishingul).
(extras din teza de doctorat)