- Güvence altına alınan binaların fiziksel güvenlikleri çeşitli yollarla kolayca ihlal edilebilir (örn. Sosyal mühendislik, bindirme, yangın kapıları açık bırakılmış vb.);
- Güç kaynakları genellikle yetkisiz erişime karşı korumasızdır.
- Kritik ekipman her zaman UPS tarafından korunmaz;
- Jeneratörler ve UPS genellikle düzenli olarak test edilmez veya test sonuçları mevcut değildir;
- Ekipman bakımı her zaman üreticinin talimatlarına göre yapılmaz - muhtemelen üretici garantisini geçersiz kılar;
- Tesis dışı ekipman güvenliği genellikle kuruluş tarafından göz ardı edilir;
- Ekipmanın güvenli bir şekilde elden çıkarılması / kaldırılması genellikle kaydedilmez veya güvenli bir şekilde gerçekleştirilmez, bu da potansiyel olarak bilgilerin yetkisiz ifşasına yol açar;
- Açık masa / ekran işlemleri, özellikle BT Departmanında çoğu zaman yapılmamaktadır. Genellikle, ancak her zaman değil, BT diğer kullanıcıları açık ekranlara sahip olmaya zorlar, ancak çoğu zaman yerinde açık bir masa süreci yoktur ve sınıflandırması nedeniyle kilitlenmesi gereken her şeyi güvenli bir şekilde saklamak için kilitlenebilir dolaplar yoktur. Herhangi bir bilgi sınıflandırma süreci mevcut değilse ve kuruluş genelinde kullanılmıyorsa veya bilgi sınıflandırmalarına dayalı herhangi bir işleme prosedürü yoksa bu durum daha da kötüleşebilir.
Varlık Sınıflandırması ve Kontrolü
- Veri veya bilgi sahipliği veya varlık sınıflandırması kavramı genellikle çok azdır veya hiç yoktur;
- Ekipmanın hareketi üzerinde genellikle çok az kontrol vardır;
- Güvenlik (uygulanıyorsa) bu sürece (veya ilişkili risk yönetimi süreçlerine) dayalı değildir;
- Bazen, özellikle sahipler (rollerinin farkında olsunlar ya da olmasınlar) herhangi biri tarafından, varsa, çok az kişisel hesap verebilirlik söz konusudur;
- Sahipler, bilgilerini nadiren güvenlik açısından gözden geçirirler;
- Bilgi (her türden) nadiren tutarlı bir şekilde sınıflandırılır ve söz konusu sınıflandırmanın gerekliliklerine göre işlenir.
ISO 27001