Ponemon Intitute provedl mezi vedoucími pracovníky velkých firem průzkum zaměřený na vnímání bezpečnostní rizik. V rámci studie byly dotazováni lidé pracující na pozicích CEO, CIO a COO („C-Level executives“).
Samozřejmě se ukázalo, že vedoucí pracovníci mimo sféru přímo IT přikládají bezpečnostním incidentům relativně menší význam. Současně ale 53 % dotazovaných CEO vyjádřilo přesvědčení, že firemní data jsou útokům vystavena neustále, v jiných ohledech mají tedy naopak tendenci bezpečnostní hrozby přeceňovat. Jednotlivé pozice se také lišily podle toho, co je hlavním cílem ochrany dat, zda předejít špatné mediální pověsti a nelibosti zákazníků, nebo spíše vyhovět regulačním požadavkům.
První názor zastávali spíše výkonní ředitelé, přímo odpovědní za finanční výsledky firmy, spokojenost zákazníků a cenovou efektivitu. Ostatní používají „jiné metriky“, tj. potřebují mít spíše doklad, že činnost jejich oddělení vyhovuje všem předepsaným požadavkům a oni jsou „kryti“. Výsledky průzkumu celkově vyzněly právě v tom smyslu, že je zřejmě potřeba pro hodnocení informační bezpečnosti změnit metriky.