Generell soll die Sicherheit sowohl die Zahl als auch das Ausmaß folgender Arten von Zwischenfällen reduzieren:

• finanzielle

• juristische

• Auswirkungen auf den Ruf

• Zeitverlust

• Auswirkungen auf das Know-how

• Auswirkungen auf die Gesundheit

Die meisten Auswirkungen, mit Ausnahme der finanziellen, können von keiner Versicherung entschädigt werden. Man muss also unbedingt verhindern, dass sie stattfinden, beziehungsweise unbedingt ihre Konsequenzen abschwächen, indem die Schwachstellen der verschiedenen Werte reduziert werden. Diese Reduzierung der Schwachstellen bleibt oft schwierig und kann zu substanziellen Kosten führen, besonders dann, wenn Redundanzen erforderlich sind. Allerdings ist es unmöglich, direkt auf die Bedrohungen einzuwirken, da sie nicht der Kontrolle des Organismus obliegen.
Da es nicht möglich ist, unverzüglich alle Schwachstellen zu bearbeiten, sollte man sich (zumindest vorerst) auf die Schwachstellen beschränken, deren Ausnutzung erhebliche bis kritische Folgen haben kann. Ein Bewusstsein für Priorität und " road map " muss eingeführt werden.
Die Norm ISO/IEC 27005 (Risikomanagement) schlägt eine methodologische Herangehensweise zur Identifizierung der bestehenden Risiken vor, um sie einzuschätzen und eine passende Behandlung vorzuschlagen. Die Norm schlägt vier Behandlungstypen vor :

• Die Reduzierung durch Implementierung der Maßnahmen entsprechend der Norm ISO/IEC 27002,

• die Übertragung des Risikos an einen Spezialisten (Sub-Unternehmer),

• Risikoakzeptanz,

• die Ablehnung, die konsequenterweise zum Stillstand der betreffenden Aktivität führt.

Diese Methode ermöglicht die Identifizierung der verschiedenen Risiken, denen eine Organisation ausgesetzt ist. Für jede Geschäfts- und Informationsanwendung werden die zur Behandlung benötigten Unterstützungswerte hinsichtlich Bedrohungen, Schwachstellen und Auswirkungen analysiert. Für jeden Wert werden also die bestehenden Bedrohungen und Schwachstellen aufgelistet. Es werden demnach Paare aus realistischen Bedrohungen und Schwachstellen gebildet, die man als " Angriffsszenarien " bezeichnet. Das Risiko wird aufgrund der Wichtigkeit des Werts ermittelt (Wichtigkeit für den Primärprozess, beziehungsweise Eigenwert).
 Die Risikoeinschätzung ist eine Rechnung basierend  auf:

• der Wahrscheinlichkeit der Bedrohung,

• der Ausnutzbarkeit der Schwachstelle (unter Berücksichtigung der bestehenden Sicherheitsmaßnahmen),

• dem Ausmaß der Auswirkung (Risikobewertung).

Während der Risikoeinschätzung werden die verschiedenen Risiken entsprechend ihrer Dringlichkeit sortiert.
Schlussendlich schlägt man Behandlungen für jedes Element der Risikoeinschätzung vor, das ein nicht-akzeptables Risiko-Niveau aufweist.
Diese Herangehensweise mag schwierig erscheinen, doch ist sie  die einzige Möglichkeit, Prioritäten für Investitionen in die Sicherheit zu setzen. Diese werden effizient sein, denn sie wurden an die " vielversprechendsten" Angriffsszenarien angepasst.
Denn warum sollte man zum Beispiel Millionen für Feuerbekämpfungsmittel ausgeben, wenn die größte Bedrohung vom Wasser ausgeht?