Míg a cégek informatikai költségvetésük 10 százalékát fordítják a biztonságra, azt már nem vizsgálják, megtérül-e ez a ráfordítás. Egy-egy informatikai biztonsági probléma kezelése átlagosan 108 ezer dollár kiadást jelent a társaságoknak.
Ennek ellenére a legtöbb vállalat túl magabiztos saját biztonsági színvonalát tekintve: 58%-uk úgy tartja úgy, hogy minden ésszerű lépést megtett a védekezésért, ugyanakkor közülük is minden tizedik elismerte, hogy semmilyen formában nem méri a biztonsági lépések hatékonyságát, sőt, 52%-uk nem rendelkezik olyan rendszerrel, amely észleli az illetéktelen behatolást.
A valódi teljesítményt mindössze a cégek mintegy harmada (35%) képes mérni és értékelni, míg a vállalatok több mint fele azt sem tudta megmondani, mennyit költ az informatikai biztonság megteremtésére.
A cégek kevesebb mint feléről mondható el, hogy informatikai biztonságért igazgatósági szintű vezető felel, miközben az e területen dolgozók 73 százalékának nincs szakirányú végzettsége.
A felmérés megállapításairól Mathew Ring, a KPMG közép- és kelet-európai regionális irodája információkockázat-kezelési (Information Risk Management - IRM) részlegének partnere elmondta: "Egyre fontosabbá válik a biztonsági teljesítmény mérése. Pontos adatok nélkül nem irányítható hatékonyan egy rendszer működése. Felmérésünk jól tükrözi, hogy a cégek többsége nem képes mérni és értékelni saját informatikabiztonsági teljesítményét. Fontos, hogy a szervezetek megtalálják saját rendszerük legsebezhetőbb pontját. Ha a védelmi mechanizmusokat nem alkalmazzák megfelelően mindenütt, akkor ezen a leggyengébb ponton keresztül, egy láncreakcióhoz hasonlóan, a rendszer minden eleme támadhatóvá válik."