Gran parte de esta respuesta realmente depende de qué tipo (s) de sistemas y datos está protegiendo y también de lo que está tratando de lograr a través de su evaluación. También querrá considerar la historia de la organización que se está evaluando también. Por ejemplo, si es más probable que los activos sean robados o dañados físicamente, definitivamente primero debería priorizar una revisión de seguridad física.
Dicho esto, desde el punto de vista de la protección de los activos de información que probablemente estén conectados a Internet, recomendaría adoptar un enfoque de dos puntos para recomendar una prueba de penetración externa para proporcionar al cliente una respuesta rápida sobre los problemas potencialmente críticos que enfrenta Internet. y combinar eso con una evaluación de seguridad de propósito general que realmente profundizaría mucho más en la forma en que funciona la organización y no en la seguridad. Es importante tener en cuenta que también hay muchos tipos diferentes de pruebas de penetración.
En lo que respecta a la priorización, generalmente encuentro que esto es más una cuestión de presupuesto de tiempo / dinero y que el cliente siempre está tratando de equilibrar lo que logra el "máximo beneficio". Supongo que, dado que hizo esta pregunta, los fondos ilimitados y / o el tiempo ilimitado claramente no son una opción.
Mi sugerencia sería determinar qué objetivos le gustaría lograr una organización a través de esta evaluación / auditoría primero. Una vez que tenga un conjunto claro de objetivos, sería mucho más fácil recomendar / priorizar el mejor enfoque de evaluación.
Me arriesgaré y diré que si está iniciando un programa de seguridad en una empresa que nunca haya hecho nada de esto, es probable que los resultados sean malos en cada área en particular. Si ese es el caso, no desea gastar una gran cantidad de su presupuesto de evaluación en un área única (como una prueba de penetración profunda de una sola aplicación o simplemente una evaluación de seguridad física) porque si obviamente va a ser muy mala. Ese esfuerzo será desperdiciado. En este caso particular, sugeriría una evaluación de seguridad de propósito general con el objetivo de analizar la seguridad de la organización en su conjunto y tener explícitamente un objetivo final del proyecto, ya que el asesor crea un "mapa de ruta" de los próximos pasos. para cada área que necesita seguridad adicional (esto también puede hacerse dentro del contexto de PCI-DSS, NIST sp800-53 o ISO-27000), pero lo más importante es que el informe no se limita a esas normas.
En esta situación particular, creo que elegir a la persona / empresa para hacer esto es igualmente crítico para el éxito de la evaluación. Si puede encontrar a alguien que realmente quiera ayudarlo a asegurar su organización, es extremadamente talentoso en seguridad y puede comunicar claramente lo que se debe hacer a los ejecutivos de manera que sean receptivos para usted tendrá una experiencia muy valiosa y reveladora. experiencia que puede tener un gran impacto en la salud a largo plazo de su organización. Del mismo modo, si está haciendo esto internamente para su organización, definitivamente piense en la mejor manera de aprovechar esta oportunidad para ayudar a su organización a largo plazo.
Volviendo a su pregunta, para la mayoría de las empresas, la elección de diferentes tipos de evaluaciones se basa con mayor frecuencia en los requisitos regulatorios, los acuerdos entre el cliente y el proveedor o la política interna. Para aquellas organizaciones que no están impulsadas por una de estas variables, el alcance generalmente está impulsado por lo que proporciona la mayor cantidad de beneficios y, en última instancia, generalmente es algo más un híbrido de metodologías que un orden específico de 1, luego 2, luego 3. Finalmente, en lo que respecta al impacto en la precisión de los resultados, creo que no debería haber conflicto en esa área tanto como niveles variables de profundidad técnica. El conflicto es generalmente uno de los presupuestos (tiempo y / o dinero), por lo que hacer concesiones para que todas las áreas se cubran al nivel máximo de profundidad para un presupuesto y una línea de tiempo determinados es más bien cómo tienden a funcionar las cosas.
Como un consejo relacionado: profundice mucho en el aprendizaje de todas las normas de auditoría, seguridad y pruebas de penetración, pero NO se adjunte a ellas tampoco. Todos ellos tienen sus propias debilidades y problemas. Hasta que no tenga una comprensión profunda de cada una de sus fortalezas y debilidades, no podrá realizar o solicitar correctamente evaluaciones de alta calidad. Tenga en cuenta que no creo que esto sea técnicamente difícil de aprender, pero puede llevar más tiempo del que tiene antes de comenzar. Si usted, o quienquiera que lea esto, se encuentra en esta situación y con prisa (estoy haciendo suposiciones aquí), puede ser conveniente contratar a alguien que no tenga intereses en conflicto para simplemente pasar una hora o dos ayudarlo a descubrir la mejor manera de avanzar en su situación particular antes de comenzar.
En cualquier caso, puede que esta no sea una respuesta tan simple como la que esperaba, pero es de esperar que le resulte útil.