1. Sikring av informasjon bør anses som et kritisk forretningsanliggende, ikke bare som en IT-teknisk utfordring.
     
  2. IT-sikkerhet må tas på alvor av flere ledd i en bedrift. Målet må være å gå fra et teknisk fokus til en bredere forståelse av hvordan bedrifter kan utnytte informasjon til å utvikle bedriften videre.
     
  3. Effektiv risikostyring knyttet til informasjonssikkerhet krever at sikkerhetsteamet fungerer som rådgivere overfor bedriftens ledere. For at lederne skal forstå utfordringer og muligheter i god informasjonssikkerhet, må IT- og sikkerhetsansvarlige utvikle metoder og språk som gjør at lederne forstår alvoret. Det krever at sikkerhetsteamet kvantifiserer og estimerer risiko for bedriftens økonomi.
     
  4. La flere team, i tillegg til sikkerhetsavdelingen, ta større eierskap til bedriftens sikkerhet ved å ha en aktiv rolle i å identifisere trusler og begrense risiko gjennom å benytte automatiserte verktøy.
     
  5. Utvikle kompetanse på innsamling av data for å løpende kunne kvalitetssikre at bedriften bruker den absolutt beste sikkerhetsteknologien til enhver tid.
     
  6. Data Analytics har blitt en essensiell del av identifisering og forebygging av trusselbildet. Bedriftene må være bevisst verdien som ligger i god dataanalyse, og kontinuerlig stille spørsmål som gjør at bedriften blir mer oppmerksom på relevante kilder til kritisk datainnsamling.