Uno studio realizzato da Palo Alto Networks su un campione di 765 decisori d'acquisto di imprese europee con oltre 1.000 collaboratori (in vari paesi, ma non in Italia) mette in evidenza un gap importante fra le evoluzioni previste dalla normativa continentale in materia di protezione dei dati personali e la preparazione delle imprese.
La nuova direttiva impone ai controllori dei dati (le imprese proprietarie) e a coloro che li trattano (come i cloud provider) di condividere la responsabilità in materia di fuga dei dati e violazioni della legge. In base alla ricerca, la responsabilità della protezione dell'impresa contro il rischio informatico sembra lasciata ancora in larga misura ai Cio. Così ha risposto il 46% degli interpellati lato management e il 57% dei direttori It coinvolti.
Solamente il 13% dei dirigenti ritiene di comprendere in modo relativo cosa si debba intendere per rischio di sicurezza informatica, riconoscendo di doversi ancora documentare su Google per fornire un'adeguata spiegazione. Un decimo dei dipendenti stima che i propri manager non posseggano una reale capacità di comprensione del problema o che essa sia quantomeno sufficiente per proteggere in modo efficace l'azienda.
Si pone, a questo punto, la questione su come le organizzazioni valutino il loro atteggiamento in tema di sicurezza. Nel 25% dei casi, l'efficacia viene misurata in termini di incidenti bloccati dalle policy applicate. Il 13% fa leva sul tempo trascorso dalla rilevazione dell'incidente, mentre il 21% preferisce la rapidità di un intervento risolutivo.