لنفترض أن البرنامج الأمني يهدف إلى تقليل التهديدات عبر التقليل من مخاطر الأمن السيبراني، في هذه الحالة، ضروري أن تكون أولويتك هي تقييم نطاق هجوم الشبكة والتخلص من أي نقاط وصول غير ضرورية:

• ما هي الأصول الأكثر أهميّة بالنسبة لأعمالك - أي أصول ستكبّد عملك خسائر كبيرة إذا تعرّضت للتلف أو التعطيل؟
• ما هي وأين توجد نقاط ضعف المؤسّسة التي يمكن استغلالها - التصيّد، أو رموز غير آمنة أو أنظمة غير مراقبة؟
• كيف يمكن للمخترقين الوصول للبيانات الحسّاسة إذا تعرَّضت نقاط ضعفك للاستغلال؟
• ما مدى الترابط بين أعباء العمل والتطبيقات؟
• ما هو المسار الذي غالبًا قد يسلكه المخترقين للوصول إلى أصول أعمالك الهامة؟