Если нормативные акты требуют защищать информацию в определенной информационной системе, владелец системы стремится выполнить нормативные требования с минимальными затратами – если только собственное подразделение информационной безопасности не объяснит ему, что в его собственных интересах сделать гораздо больше. К сожалению, привычные специалистам по информационной безопасности аргументы «хакер может взломать систему и исказить информацию» ничего не говорит владельцу системы о том, какие именно потери он может понести в случае подобного инцидента, и оправданы ли предлагаемые затраты по защите от таких инцидентов.