Dal rapporto emerge che alla base di ogni attacco c'è lo sfruttamento di una o più vulnerabilità. Può essere tecnica, organizzativa o relativa alle persone, sia il comportamento scorretto o ingenuo di un utente finale, sia l'errore di un addetto ai sistemi informatici.
Secondo i dati rilevati, l'anello più debole della catena è proprio il fattore umano e, non a caso, le principali criticità derivano da problemi organizzativi o da comportamenti dei dipendenti che permettono l'esecuzione dell'attacco.
In particolare, disattenzione e ingenuità si accompagnano alla scarsa conoscenza degli strumenti e alla mancanza di sensibilità sulla sicurezza informatica. Criticità amplificate dall'utilizzo di social network, email e dispositivi Usb. Tutti fattori che facilitano il furto d'identità da parte del cyber crime.
Quest'ultima è una delle tecniche più utilizzate negli attacchi mirati (APT), spesso attuata con lo spear phishing. Lo dimostrano diverse ricerche internazionali, che indicano il 2014 come l'anno dei "data breach".
Aumentano comunque i problemi dovuti alle vulnerabilità tecniche, non solo quelle nuove, che pure crescono con la complessità di tecnologie innovative nate con la virtualizzazione, il cloud e i sempre più potenti dispositivi mobili.
Spesso le vulnerabilità non sono scoperte per tempo dai fornitori e rimangono relativamente a lungo sfruttabili. Ma anche dopo la pubblicazione di una patch rimangono una spina nel fianco delle imprese, che non sempre riescono ad applicare gli aggiornamenti. Ciò è dovuto, purtroppo, soprattutto per problemi organizzativi: la non conoscenza delle disponibilità di patch, la mancanza di procedure per i test del software, il non rinnovo dei contratti di manutenzione del software, causato in molte realtà dal perdurare della crisi economica.