Los riesgos se relacionan con dos elementos: el impacto potencial que tienen al interior de las organizaciones, y las acciones que estas deberían tomar para abordarlos.
Reconocer, explorar, desarrollar y mantener son acciones que se deben llevar a cabo al interior de toda organización.
Organizaciones deben prepararse para gestionar las amenazas cibernéticas que podrían causar daños a la reputación.
Deben proteger los datos confidenciales que están bajo su cuidado.
La dependencia de terceros para los servicios, en torno a las tecnologías de la información, exige mayor supervisión.