El informe desarrollado por el Software Engineering Institute (SEI) de la Universidad Carnegie Mello, presenta una taxonomía de los riesgos operativos de seguridad cibernética que trata de identificar y organizar las fuentes de riesgo operativo de seguridad cibernética en cuatro clases:

(1) Las acciones de las personas, o falta de acción, adoptado por la gente ya sea deliberadamente o accidentalmente que la seguridad cibernética

(2) sistemas y los fallos tecnológicos: fallos de hardware, software y sistemas de información

(3) procesos internos, y sus fallas: problemas en el negocio de los procesos internos que afectan la capacidad para implementar, administrar y mantener la seguridad informática, tales como el diseño de procesos, ejecución y de control

(4) eventos externos los problemas a menudo fuera del control de la organización, tales como los desastres, jurídicas cuestiones, asuntos de negocios, y las dependencias del proveedor de servicios.

Esta taxonomía se puede utilizar como una herramienta para ayudar en la identificación de todos los operativos de aplicación los riesgos de la seguridad cibernética en una organización. Con ese fin, este informe también analiza la armonización de la taxonomía de las actividades de identificación y análisis de riesgo, tales como los descritos por la Federal Information Security Management Act de 2002 [FISMA 2002], el Instituto Nacional de Estándares y Tecnología (NIST).

El informe completo se puede descargar desde Software Engineering Institute (SEI).
http://www.sei.cmu.edu/reports/10tn028.pdf