W raporcie stwierdza się, że średnio 2-3 procent środków z budżetów IT, które firmy przeznaczają na ochronę, może nie zapewnić im odpowiedniego przygotowania na problemy bezpieczeństwa związane z nowymi aplikacjami czy architekturą Web services.

Taka wielkość wydatków przeznaczanych na bezpieczeństwo może zapewnić jedynie podstawową ochronę dla większości dużych organizacji. Według Nemertes Research, ochrona podstawowa sprowadza się do wdrażania zapór ogniowych, VPN i kontrolowaniu tzw. strefy bezpieczeństwa sieci.

Zobacz również:

• Szyfrowanie plików, a szyfrowanie dysku - jaka jest różnica?
• Spadek sprzedaży pecetów

W ciągu ostatnich pięciu lat szereg firm poczyniło odpowiednie kroki w celu wyznaczenia osób odpowiedzialnych za bezpieczeństwo, odpowiednich zespołów do spraw zabezpieczeń i budżetu, ale nadal rezygnuje z finansowania nowych, niezbędnych projektów.

W ocenie firmy badawczej co najmniej 5 procent budżetu IT powinno być przeznaczane na sprawy związane z bezpieczeństwem, aby zapewnić niezbędne uzupełnienia infrastruktury oraz wsparcie procesów opartych na regułach, koniecznych do spełnienia wymogów stawianych dzisiejszym systemom zabezpieczeń.

W obliczu coraz częstszych fuzji i przejęć, firmy muszą przeznaczać więcej pieniędzy na tworzenie infrastruktury bezpieczeństwa w ramach działów IT. Jest to problem szczególnie ważny dla organizacji finansowych.

Według Nemertes Research około trzy czwarte osób odpowiedzialnych za ochronę uważa sterowanie dostępem , uwierzytelnianie, audyt (tzw. obszar "AAA" - Access control , Authentication , Auditing) oraz zarządzanie tożsamością za główne priorytety swoich działań.