ويمثل هذا القول الشائع حجم الكارثة عند إدارة أمن المعلومات بهذه الطريقة. ويتطلب تجنب هذه الحالة التعرف علي أن أمن المعلومات لا يمثل مشكلة من مشكلات تكنولوجيا المعلومات، بل يمثل مشكلة للمديرين أنفسهم لا يمكنهم التنازل عن مسئولياتهم تجاهها.

لذلك يجب علي الإدارة العليا بأي منظمة التعرف علي حاجات الأعمال وقيمة الأصول المطلوب حمايتها وتأمينها، وجعل الموارد متوافرة لنشر الأمن الضروري لها، واختبارها وإدارتها وصيانتها باستمرار.

وعلي هذا الأساس، يجب ان يقوم مديرو تكنولوجيا المعلومات أو مراكز المعلومات بأداء الأدوار التالية:

-المبادرة في وضع مقاييس أمن المعلومات.

-تنسيق أعمال الأمن في المنظمة بكل قطاعاتها وإداراتها وأقسامها.

وبذلك يصبح في الإمكان محاسبة المديرين المختصين عن الطريقة التي تنفذ وتشغل بها كل الأوجه الفنية والأمنية التي تتضمن الخيارات المستخدمة، وكيف ومتي يرجع فيها لسياسة الأمن المطبقة، وما هي الموارد التي تصب في المهام التي يكلفون بأدائها وكيفية أدائها بطريقة جيدة. أما مسئولياتهم الأخرى فتختص بمدي الترتيب للدخول للتطبيقات والنظم والشبكات المتاحة، وإعداد الاختبارات لتعريف نقاط الضعف ونواحي القصور في إجراءات الأمن المطبقة، والقيام بتطوير وتحسين سبل اكتشاف البرامج والشفرات والأعمال المتطلبة لتقليل الإنذارات الزائفة، إلي جانب تنظيم وإدارة الأمن وتنفيذ مقاييسه المتفق عليها حتى يمكن تأكيد أن مصادر معلومات المنظمة آمنة من أي هجمات أو مخاطر داخلية أو خارجية.

ويلاحظ أن الأداء الشائع لموردي هذه الأدوات والمنتجات، توريدها في مكونات معمارية يشار إليها بألفاظ مثل:"Cut of the Box"or"Shrink-Wrapped"التي تتضمن من بين الأوجه الأخرى: رقم تعريف تمهيدي للمستخدم Initial User ID ، وكلمة المرور Password لمدير أو إداري الأمن الذي قد يكون معروفا للمتطفلين Hackers. لذلك يجب تغيير هذه القيم بمعايير محددة موافق عليها قبل استخدام هذه المنتجات.

ويكون مديرو أمن المعلومات المهنيين مسئولين مباشرة عن تطوير وإدخال وإدارة العمليات التي تساند إدارة ومراجعة عقود التوريد مع سياسات الأمن المطبقة لكي يستجاب لشروطها وقواعدها المتفق عليها. وتشتمل هذه العمليات علي مهمة مراجعة الحالات، الأحداث والاتجاهات بالإضافة إلي الإشعارات والإنذارات الصناعية.