Un error no es lo mismo que una falla de seguridad.

Yo puedo configurar un firewall, y meter mal una rule y dejar bruto agujero. Eso es un error. Se detecta y se corrige.

Ahora, si tengo varios servidores NFS por internet (por ejemplo, porque es mala idea de por si), y los puertos de NFS los dejo abiertos a internet, y cada vez que hago un servidor nuevo lo hago sistematicamente, eso es un error, y tampoco es una falla de seguridad, pero ahi iria buscando el gallito.

Tambien depende mucho de la cabeza de mando, que hasta que un "Especialista de seguridad" no dice que lo que hace esta mal, no escucha a mas nadie y va para adelante sin escuchar a nadie.

En el software es mas sistematico porque muchos programadores tienen la idea de programar solo el comportamiento de negocio deseado y piensan que la seguridad "no es tema mio", o no tienen idea real del alcance que tiene un sysadmin/network manager. Te tiro un ejemplo, en el laburo hace unos meses cayo un programador con cerebro, y en varios formularios detecto que la validacion estaba mal y era suceptible a inyecciones SQL pelotudas.

Varios programadores viejos que tenian 7 u 8 años dijeron "que los sysadmin metan algo adelante" y se lavaron las manos. Por suerte le tipo nuevo tuvo dignidad y apreto las clavijas.