L’organe d'administration n'a pas à comprendre tous les aspects techniques, mais il est bien responsable de la gouvernance des risques de cybersécurité. Être conscient des risques n'est pas suffisant; chaque organe d'administration a besoin d'une politique de cybersécurité afin de créer un environnement sécurisé de données.
Souvent, le sujet de cybersécurité n'est abordé qu’au moment où l'entreprise est devenue la victime d'une cyberattaque ou d'une fuite de données.
Les entreprises doivent en effet être en mesure de gérer les conséquences d'une attaque, mais encore plus important est l'aspect de la prévention des risques.
Il incombe tout d'abord aux administrateurs de sensibiliser leur personnel aux risques liés à la cybersécurité.
Deuxièmement, il faut déterminer le niveau de risque que l'entreprise est prête à prendre en vue de ses objectifs stratégiques. Pour ce faire, les administrateurs doivent classer les risques en fonction de leur ampleur ou de leur impact, puis déterminer quels seront les risques à prioriser.
Troisièmement, il faut une décision de l’organe d’administration sur un budget approprié pour les mesures techniques et organisationnelles et, le cas échéant, sur la conclusion d'une assurance cyber.