18 of 18  13 14 15 16 17 18   (1) Fácil escucha clandestina y falsificación, la mayor parte del tráfico Internet no se encuentra cifrada. El Correo Electrónico, las passwords y las transferencias de ficheros se pueden monitorizar y capturar utilizando fácilmente el software disponible. (2) Los servicios TCP/IP son vulnerables. Un conjunto de servicios TCP/IP no están diseñados para ser seguros y pueden ponerse en peligro por intrusos con ciertos conocimientos; los servicios utilizados para testear son particularmente vulnerables. (3) Falta de política de seguridad. Muchas organizaciones se encuentran configuradas, no intencionalmente, con acceso Internet a todo el mundo sin tener en cuenta los posibles abusos desde Internet. Muchas organizaciones permiten más servicios TCP/IP de los que son necesarios para sus operaciones y no intentan limitar el acceso a la información acerca de sus computadores que puede resultar valiosa para los intrusos. (4) Complejidad de la configuración. Los controles de acceso de seguridad a los computadores suelen ser complejos de configurar y monitorizar; los controles que se configuran incorrectamente de forma accidental pueden dar lugar a accesos no autorizados peligrosos. De acuerdo con un informe de la Consultora Datapro, sólo el 46% de las Empresas Españolas disponen de una política de seguridad para sus sistemas de información. En Europa, el porcentaje asciende al 69%. El propósito de una política de seguridad es decidir la forma en que una organización toma medidas para protegerse. Una política de seguridad generalmente presenta tres aspectos: (1) una política general que establece el enfoque a la seguridad. (2) las reglas específicas que son el equivalente de la política específica del sistema. Las reglas definen lo que está ó no permitido. Las reglas pueden ser apoyadas por procedimientos y otras guías. (3) el enfoque técnico ó análisis que soporta la política general y las reglas específicas. Para que la política de seguridad sea efectiva sus diseñadores deben tener en cuenta los compromisos/concesiones que se realizan (muchas soluciones de seguridad limitan la funcionalidad para poder incrementar el grado de seguridad, se suele cumplir que a mayor seguridad mayor dificultad de uso, etc.). La política de seguridad debe sincronizarse con otras cuestiones de política relacionadas. Una política de seguridad puede estructurarse según: su destino, grado de robusted en: (1) Para los usuarios. (2) Para los administradores/gestores. (3) Requisitos técnicos. (4) Bajo riego.  (5) Riesgo medio. (6) Alto riesgo, etc.