Una encuesta realizada por la Consultora Ernest & Young a grandes firmas arrojó que el 50% de las empresas encuestadas nunca reportan a sus accionistas o inversores acerca de incidentes en la seguridad de sus sistemas de información.

Las respuestas provinieron de responsables en implementar políticas de seguridad en sistemas de información en empresas de telecomunicaciones, bancos, energía y utilities.

Mientras el 50% no informa sobre los ataques o violaciones a la seguridad de la información, el 42% no realiza informes del estado de los proyectos de seguridad claves de la organización y un porcentaje similar no realiza reportes sobre el cumplimiento de las políticas de IT.

De acuerdo a información suministrada por el responsable de Seguridad de Microsoft para el Cono Sur, apenas el 5.6 % de las empresas tienen un compromiso directo con la política de seguridad de la información.

Hay sectores en los que los directivos son reticentes a reconocer que tienen o que pueden tener un problema de seguridad.

Lo grave no es que nieguen hacia fuera que tienen un problema de seguridad, porque podría tener un impacto negativo en la continuidad de negocios sino que tampoco lo aceptan internamente y por lo tanto no toman las medidas de
seguridad indispensables.

Hay directivos que desconocen la existencia de normas de seguridad y calidad que han sido diseñadas para la mejora o para la implementación de las mismas e intentan crear sus "propias normas internas" las cuales pueden tener un superior margen de error y riesgo en comparación con normas ya existentes justamente diseñadas a efectos de la administración y securitización de datos y procesos de información. Ejemplos de estas normas son ISO IRaM 17799, CObIT, Sarbanes Oxley, UNE 71501, UNE 71502 y otras que pueden surgir de acuerdo a la necesidad de securitización de la empresa afectada.

El trabajo de los auditores en seguridad informática justamente recae en el análisis de riesgo e implementación de normas y procesos para la optimización o corrección (en caso de que haya surgido previamente) un incidente de seguridad.

El auditor en seguridad informática acompaña a la Gerencia recomendando procedimientos para la prevención o corrección de procesos de seguridad, acordes a normas y leyes vigentes que deben cumplirse para el correcto desenvolvimiento jurídico de la norma, procedimiento o protocolo que el auditor recomiende aplicar.