Cuantos errores de seguridad cometes?

Es muy habitual que, hablando de seguridad, la gente trate de encontrar un método sencillo para saber, de forma rápida y medianamente fiable, cuánta es la seguridad de su organización. A poder ser, de forma autónoma y obteniendo un resultado cuantitativo. Por eso, cuando el otro día leí en ComputerWorld un artículo en el que hablaban de Los diez errores más comunes de los administradores de redes, me resultó muy sencillo hacer una propuesta de auto-evaluación rápida. ¿Cuántos de estos errores evita tu organización de manera sistemática (sin que evitarlos dependa de la iniciativa personal de un administrador de redes preocupado por la seguridad)? El número de errores evitados sería, directamente, la "nota" en seguridad. ¿Cuántos de estos errores se evitan en tu organización?:

1. No cambiar las claves por defecto de los equipos (servidores, routers, switches, etc.).
2. Compartir una misma contraseña en múltiples dispositivos
3. No buscar vulnerabilidades de inyección SQL en las aplicaciones web
4. No definir listas de control de accesos en los dispositivos de red
5. Permitir accesos remotos y software de administración inseguros
6. No probar las aplicaciones no críticas frente a vulnerabilidades básicas
7. No proteger apropiadamente los servidores frente al malware
8. No configurar los routers para prohibir tráfico saliente no deseado
9. No saber dónde se almacenan los datos críticos de la organización (todas sus ubicaciones, considerando todas las copias existentes de los mismos)
10. No seguir estándares de seguridad básicos (en el artículo se habla de PCI DSS, pero me vale cualquier estándar de mínimos de seguridad).

¿Cuál es tu nota? ¿Apruebas en seguridad? ¿Echas en falta alguna medida de seguridad básica de red? Si quieres hablar de ello, los comentarios están a tu disposición.