Siber suç, hızla artıyor. Birçok şirket bu tehlikeyi hafife alıp önleyici eylemler yerine yalnızca bir saldırı gerçekleştiğinde tepki veriyor. Bilgi güvenliği ve veri koruması genellikle yalnızca üst yönetimin nihai sorumluluğu olabilir. Gizlilik ihtiyaçları analizi, veriler, belgeler ve uygulamalar için koruma ihtiyaçlarını belirler. Üç önemli güvenlik hedefi gizlilik , bütünlük ve erişilebilirliktir. Kişisel, teknik, organizasyonel ve altyapısal güvenlik önlemleri kurum içi politikalarla tanımlanmalıdır. İş süreçleri, BT sistemleri ve altyapıları, uygulamalar, veriler, belgeler, bina ve odalara erişim ile dış ortaklar ve tedarikçiler analiz edilerek yapılmalıdır.
Alınan dersler, projenin uygulanmasında ve çözümün tasarımında dikkate alınmalıdır. Çıkarımlar, çözümün kapsamını sınırlayabilirler. Olası gizliliği ve bütünlüğü korumaya yönelik önlemler alınmalıdır. Örneğin, depolama sırasında verilerin şifrelenmesi, uygulamalara veya verilere erişim için bir yetkilendirme sistemi vb.
