IT-Sicherheit ist ein breites Gebiet, in das sowohl viele naturwissenschaftliche Fachgebiete als auch Betriebswirtschaft und Verhaltenspsychologie hineinspielen. Diese Breite und die Vielfalt und Entwicklungsgeschwindigkeit moderner Technik machen IT-Sicherheit zu einer sehr anspruchsvollen Aufgabe, die aber mit dem richtigen Know-how und den nötigen Ressourcen bewältigt werden kann. Dabei gilt es jedoch zu beachten, dass eine vollständige Sicherheit prinzipiell nicht erreichbar ist. Systeme, die in Interaktion mit externen Komponenten treten, setzen sich immer Gefahren aus. Dabei hat es ein Angreifer grundsätzlich leichter als der Verteidiger: Während dem Angreifer das Finden und Ausnutzen einer einzigen Lücke ausreicht, heißt es für den Verteidiger „Das schwächste Glied der Kette bricht“. Als für die IT-Sicherheit Zuständiger muss man daher jede Komponente eines Systems ausreichend würdigen.

Aufgrund ökonomischer Überlegungen ist es zweckmäßig, ein angemessenes Maß an Sicherheit anzustreben und damit das festgestellte Schutzbedürfnis nicht zu unterschreiten aber auch nicht unnötig zu überschreiten. Man muss in den Planungen und Überlegungen auch unwahrscheinlich wirkende Ereignisse bedenken, wie z.B. Innentäter im eigentlich vertrauenswürdigen Umfeld oder versehentliches Zerstören wichtiger Daten durch autorisierte Mitarbeiter. Sicherheit ist ein gelebter Prozess und keinesfalls lediglich ein eingekauftes Produkt.