Однако компании, как правило, не публикуют сведения об убытках из-за происшествий, связанных с компьютерной безопасностью. Отсутствие данных для актуарных расчетов вынуждает страховщиков прибегать к анализу культуры безопасности в компании, обратившейся за страховкой. При этом они обнаруживают, что проблемами безопасности по-прежнему занимаются только в ИТ-отделах, не включая их в общую структуру корпоративного управления рисками.
Основная причина этого, полагает Файнен, в том, что риски в области компьютерной безопасности все еще не описываются в терминах, доступных незнакомым с технологиями руководителям бизнеса — а именно, в терминах связанных с ними убытков и репутационного ущерба. Компаниям необходимо интенсивнее вовлекать руководителей служб информационной безопасности и других специалистов в обсуждения вопросов управления деловыми рисками, заключает он.