Muitas empresas rejeitam a importância de políticas de segurança escritas e vão direto para os controles técnicos, Controles técnicos (como firewalls, proteção de endpoint e outros) implementados sem controles administrativos (isto é, políticas e procedimentos) são quase sempre implementados de uma maneira reativa, sem uma estratégia de segurança abrangente, coerente e bem pensada, e estrutura de gestão de segurança (que suas políticas junto à análise de segurança da informação ajudam a definir). Isso significa inevitavelmente que você gastará muito em soluções técnicas que não são implementadas efetivamente (ou adequadamente) e que fornecerão proteção incompleta ou inadequada.