Políticas e procedimentos são necessários, mas não suficientes para mitigar riscos para segurança da informação. Eles desempenham um papel principal ao definir uma estratégia global da organização para controle de riscos de segurança e, com gestão apropriada, e que esteja preparada para uma resposta integrada e consistente a esses riscos. Dadas as restrições para organizações, desenvolvedores de software e arquitetos de sistemas, não há virtualmente nenhuma chance de eliminar todas as vulnerabilidades que uma organização enfrenta. Em vez disso, o enfoque deveria ser a gestão delas.

A gestão de vulnerabilidades está intimamente ligada à gestão de riscos. A última começa em um nível estratégico e determina a combinação ideal de procedimentos e tecnologias para mitigar tais riscos. Um desses procedimentos é a gestão de vulnerabilidades e suas metas.

 

Dentre as metas que a gestão de vulnerabilidades possui, podemos destacar:

 

• Avaliar o impacto potencial das vulnerabilidades e corrigir e compensar a vulnerabilidade.

• A transferência intencional de documentos e dados feita por um funcionário, contratado ou outras pessoa com acesso interno a informações.

• Programas que executam multimídia que controlam de maneira imprópria os formatos de arquivo.

• Identifica violações de bancos de dados e sistemas de arquivos

• Política de segurança de dispositivo de cliente e servidor.