Аудит ІТ-інфраструктури ми рекомендуємо починати з виявлення вразливостей в зовнішньому периметрі корпоративної мережі. Наступний рівень - внутрішній: перевірка конфігурації обладнання та мереж для запобігання доступу до критичних областях інфраструктури в разі атаки зсередини компанії.
Одночасно при цьому аудиту може бути проведений аналіз додатків. Збільшення числа ІТ-сервісів в інфраструктурі компанії розширює і область аналізу її захищеності: найчастіше межа мережевого периметра проходить по веб-сервісів компанії, які пов'язані з серверної частиною і можуть служити каналом проникнення зловмисника в корпоративну мережу. Специфіка роботи додатків є предметом окремого дослідження, який включає в себе також аудит вихідного коду.