IT-avdelinger autorisere reaktive kortsiktige løsninger uten å se på den fulle sammenheng med eventuelle hendelser, eller de avhengige av teknologi i stedet for programmer som inneholder komponenter av risikostyring, prosess, organisasjon og people.Organizations avhengige tungt på sikkerhet omkretsen teknologier som ytre brannmurer og VPN, med mye mindre fokus på intern sikkerhet. Perimeter teknologier må utvides og fokuset må være på interne sikkerhetstiltak, for eksempel intern segmentering, Intrusion Prevention, sårbarhetsstyring og opptakskrav Control.
Organizations innser at i dagens forretningsmiljø, "et internt nettverk er ikke mye tryggere enn en eksterne nettverk ". Bedrifter er pålagt å gi flere brukere tilgang til sine nettverk og informasjonsressurser; de har til å administrere flere nivåer av tilgang til sine informasjonsressurser, basert på brukernes roller og ansvar, enten det er for kunder eller samarbeidspartnere som krever tilgang til informasjon, eller for mobile brukere som krever tilgang til applikasjoner fra utenfor bedriftens vegger, til nevne few.
People og organisasjoner kan ha en stor impactFew organisasjoner har innarbeidet interne sikkerhetsopplæring og bevissthet programmer i sin generelle sikkerhets strategy.Most sluttbrukere og bedriftsledere ikke har blitt gjort klar over sikkerhetsrisikoen for å få tilgang til bedriftens nettverk mens jobbe hjemmefra eller på farten, og hvordan dette kan påvirke organisation.Organizations kan implementere så mye sikkerhetsteknologi som de anser som nødvendig, men uten å gjøre sluttbruker klar over hvordan deres handlinger kan utgjøre en sikkerhetsrisiko, har en begrenset teknologi effect.
Compliance ikke like securityOrganizations generelt har ennå til å ta risiko og selskapsledelse som kjernen til sine samlede sikkerhetsprogrammer, og det er fortsatt mye arbeid som må gjøres som involverer topp management.Traditionally, sik