Me arriesgaría, si esta pregunta no pudiera ser respondida. El tema es demasiado amplio y no especificado.
En primer lugar, una "falla de seguridad" es específica del dominio y la aplicación. Una "falla de seguridad" en una aplicación puede ser considerada como una "característica" en otra en un dominio totalmente no relacionado (por ejemplo, el apagado no autenticado de un sistema está mal en línea en la bolsa de valores, es bueno en una plataforma petrolera si la bomba está fuera de control ).
Entonces realmente no sabemos cómo clasificar errores en el lugar :)
Una buena solución podría ser una evaluación de riesgos basada en evaluaciones de riesgos que a su vez se basa en su especificación. Para esto, necesitarías especialistas ("los tipos de ciberseguridad") involucrados en el proyecto en sí. Sería aconsejable involucrarlos desde la etapa de oferta / planificación temprana, para que puedan identificar los posibles escollos todo el camino a medida que avanza el desarrollo. Lamentablemente, en la actualidad, la seguridad siempre se agrega durante los últimos / últimos pasos y casi siempre implica una sobrecarga innecesaria debido a esto.
Lo malo de la seguridad es que la buena seguridad es invisible, por lo que es difícil de comercializar / vender; por otra parte, la seguridad perdida es probablemente muy devastadora.
Y concluyo con una anécdota de fuentes no reveladas (supuestamente se origina en Amazon): el jefe del departamento de seguridad de TI dice en la reunión de evaluación anual: "No tuvimos ningún incidente el año pasado, por lo que nos gustaría duplicar nuestro presupuesto para el próximo año ".