A mio parere, conoscere vulnerabilità specifiche del software non è tanto utile per migliorare la sicurezza della tua organizzazione quanto eseguire una valutazione completa del rischio IT . Dopo la valutazione del rischio sarai in grado di valutare, in un modo più obiettivo, se il problema principale della tua infrastruttura IT sono le vulnerabilità del software, la sicurezza fisica, le persone, le procedure o altri elementi.
Esistono più metodologie e framework per eseguire valutazioni del rischio Magerit , OCTAVE , Mehari e altri.
Qui, in Spagna, Magerit è molto usato perché si suppone che le pubbliche amministrazioni debbano usarlo per identificare e essere in grado di ridurre i rischi per l'organizzazione. Magerit include un catalogo di minacce che può essere utilizzato come una "guida completa delle vulnerabilità IT generali / comuni" come richiesto nella domanda.