Il metodo di approccio è diverso a seconda del tipo di contesto in cui il cliente opera, alla superficie potenzialmente esposta ad un attacco ed al rischio residuale accettabile.
A seconda di quanto emerso nella fase nell’analisi iniziale, verranno scelte una o più tecnologie con le quali eseguire l’analisi delle vulnerabilità valutando attentamente i risultati al contesto del cliente.
Il fatto che un’ applicazione sia tecnicamente vulnerabile NON è un indicatore di pericolo assoluto, ma solo dopo attenta contestualizzazione ai processi di business, alla natura delle informazioni trattate e al rischio accettabile per il cliente.