Otro factor esencial es estudiar a fondo la infraestructura que se ha de ciberproteger, analizar todas sus vulnerabilidades desde el punto de vista de los cibercriminales (sus activos, información de valor, países en los que está presente, etc.) para anticipar cualquier acción que pueda poner en riesgo a la entidad.