De acordo com o EY Global Information Security Survey (GISS), apesar de mais de 60% dos inquiridos revelarem um crescimento generalizado de ciberataques, apenas um terço das organizações afirma que a função de Cibersegurança é envolvida nas fases de planeamento de uma nova iniciativa de negócio. Não existir uma cultura de cibersegurança desde a conceção das iniciativas (security by design), muitos riscos de segurança apenas são considerados nas fases finais das iniciativas digitais e acabam por ser implementadas soluções de cibersegurança como remendos próximos da data de lançamento.

A cibersegurança, tradicionalmente, tem sido uma atividade dirigida à conformidade, executada recorrendo a abordagens de alinhamento com normas baseadas em controlos, ao invés de ser incorporada de raíz nas iniciativas suportadas por tecnologias. Este não é um modelo sustentável. Se alguma vez esperamos antecipar-nos à ameaça, teremos de nos focar na criação de uma cultura de security by design. Isto apenas pode ser concretizado se conseguirmos superar a separação que existe entre as funções de cibersegurança e a gestão e permitir que o Chief Information Security Officer (CISO) atue como consultor e facilitador em vez de ser um obstáculo estereotipado.
De acordo com este estudo, enquanto as equipas de cibersegurança geralmente mantêm boas relações com funções adjacentes, tais como IT, auditoria, risco e jurídica, existe uma desconexão latente com outras áreas de negócio, nomeadamente Marketing, Investigação e Desenvolvimento e Financeira. Torna-se necessário construir relações de confiança transversalmente a todas as funções da organização, começando ao nível da gestão de topo, para que a cibersegurança seja instituída como um ativador chave de valor acrescentado.