Ein fundiertes Risiko-Management orientiert sich an den übergeordneten Geschäftszielen und reagiert zeitnah auf Veränderungen im geschäftlichen oder technischen Umfeld. Viele Unternehmen haben in dieser Hinsicht aber noch Nachholbedarf. (siehe auch "Firmen brauchen besseres Risiko-Management") In einer Umfrage der Experton Group unter 148 deutschen Firmen gaben zwar 62 Prozent der Befragten an, punktuelle Risikoanalysen umzusetzen. Nur in knapp 40 Prozent der Unternehmen handelt es sich jedoch um regelmäßige Assessments im Rahmen eines umfassenden Risiko-Managements. Und lediglich jede dritte Organisation konzipiert die Analysen gemeinsam mit den Geschäftsbereichen beziehungsweise "Business-Verantwortlichen". "Die Mehrheit der Unternehmen läuft Gefahr, sich ausschließlich auf operative IT-Risiken zu konzentrieren, während die Auswirkungen von Risiken auf Geschäftsprozess-Seite meist unerkannt bleiben", kritisieren die Analysten. Um dies zu vermeiden empfehlen sie unter anderem den Einsatz eines dedizierten Sicherheitsverantwortlichen.

Risiko-Management meint einen systematischen Ansatz und Prozess, um Risiken zu identifizieren, zu analysieren, zu bewerten, zu behandeln und zu überwachen. Unternehmen können auf diese Weise Bedrohungen, Schwachstellen und Risiken erkennen und so weit wie möglich kalkulieren, die Höhe der Risikoakzeptanz festlegen und Prioritäten bei Sicherheitsmaßnahmen setzen. Das rechtfertigt wiederum Investitionen in Security-Maßnahmen und erhöht letztlich das Sicherheitsbewusstsein im ganzen Unternehmen - auch und insbesondere bei der Geschäftsleitung.