IT-ers hebben de neiging om veel te complexe standaarden te gebruiken om de security-situatie in hun organisatie inzichtelijk te maken. Probeer daarom de security-problemen zo weer te geven dat iedereen het kan begrijpen.
Beveiligingsmaatregelen worden vaak “verkocht” vanuit een angstscenario dat negatieve emoties oproept en minder vanuit een risico analyse waarbij op basis van een kosten/baten-analyse de juiste maatregelen worden geimplementeerd.
Juist door reeel te kijken naar de risico’s die een organisatie loopt kunnen de juiste en de juiste combinatie van maatregelen genomen worden. De risico’s die reeel zijn verschillen per organisatie, zo zal de ene organisatie meer last ondervinden van een brand terwijl de andere juist weer moeite heeft met netwerkverstoringen.