Man må derfor anta at det finnes et betydelig antall uoppdagede risikoer hos disse. Manglende kjennskap til en helhetlig sikkerhetsrisiko medfører feilinvesteringer i og en lite optimal ressursbruk innenfor IT-sikkerhet.
Risikobilde
Gjenbruk av informasjon om trusler, sårbarheter og verdier fra andre, uten at informasjonen tilpasses og vurderes i forhold til din virksomhet og ditt system er farlig, siden dette ofte vil medføre et feilaktig risikobilde for din virksomhet.
Det er ikke mulig å vurdere risiko uten å ha kjennskap til verdiene. Når man kartlegger verdiene er det viktig ikke bare å tenke på verdiene for deg som virksomhet, men også hvilken verdi dine data og eiendeler har for andre. Hva er viktig med disse verdiene; er det viktig å holde de hemmelige slik at andre ikke får tilgang til innholdet, er det viktig med tilgjengeligheten, er det viktig å hindre at informasjon kan endres, eller er det helt andre aspekter som gjør en eiendel verdifull for deg eller andre?
Konkurransesituasjon
I forhold til aktuelle trusler for deg og din virksomhet henger dette tett sammen med verdiene, bransje og konkurransesituasjon. Har dere verdier som andre vil benytte ressurser på å få tak i eller på annen måte ha en fordel med å påvirke dere på en negativ måte? Svaret på dette vil gi en pekepinn på hvor avanserte og dedikerte trusselaktører som er mest relevante i din situasjon.
Mange har en mangelfull og lite helhetlig tilnærming til trusler; f.eks. fokuserer på trusler gjennom Internett uten at andre trusler er vurdert. Mange ser heller ikke sammenhengene mellom IT-sikkerhet og f.eks. fysisk sikkerhet, tilgang på kompetanse og personellsikkerhet.
Erfaringer og tilgjengelig informasjon viser at mange ikke har oversikt over egen sikkerhetssituasjon. Sårbarheter er ikke bare tekniske sårbarheter, men kan like gjerne være knytte til fysisk sikkerhet, personellsikkerhet, interne policyer og rutiner, sikkerhetskultur, osv.
Avgrenses i omfang
En risikovurdering kan være omfattende og ressurskrevende, men den kan også gjøres mer overordnet eller på andre måter avgrenses i omfang. Det er viktig å balansere det man gjør; ikke dykk for dypt ned i enkelte områder uten å se på andre. Uten en helhetlig tilnærming, er det ikke mulig å oppnå optimal ressursutnyttelse. En trusselaktør vil alltid forsøke å finne svakheter eller metoder å komme rundt tiltakene, spesielt om han er ute etter å ramme deg. Det viktigste når man gjennomfører et slikt arbeid, er å tenke helhetlig og fullføre det man starter på.