S tega stališča je torej zmotno, da to vlogo po logiki razmer samodejno pripišemo vodji informacijske službe (CIO) ali nekomu iz njegove ekipe. Ti ljudje imajo pogosto na skrbi že cel niz drugih nalog in težav, zato je vprašanje, kako temeljito in trajno se lahko posvetijo vidikom varnosti. Sploh pa je sporno, da varnost informacij pripisujemo tehnologiji, ne pa poslovnim procesom.