Zarządzanie ryzykiem IT wciąż jest często traktowane jako coś innego, dziwnego, niezwykłego i często zbyt skomplikowanego lub zbyt odległego od profilu działalności organizacji. Wciąż znaczna część organizacji nie zarządza tymi ryzykami w sposób właściwy.

ISACA od jakiegoś czasu stara się zmienić ten stan, pokazuje, że de facto ryzyka IT mają wpływ na działalność każdego z przedsiębiorstw, że są nie tylko integralną częścią ryzyka operacyjnego, którym coraz częściej organizacje zaczynają zarządzać, a jest częścią wszystkich składowych systemu zarządzania ryzykiem w przedsiębiorstwach (Enterprise Risk Management). Wydała w tym celu zbiór dokumentów wchodzących w skład Risk IT Framework. Bardzo zachęcam do zapoznania się z tymi dokumentami, w szczególności z dokumentami:
- The Risk IT Framework
- The Risk IT Practitioner Guide

Ponieważ technologie IT dotykają wszystkich obszarów działalności organizacji nie można ich zastawiać samym sobie. Przedsiębiorstwa zarządzają ryzykiem kredytowym czy finansowym, z punktu widzenia operacji troszczą się o zapewnienie ciągłości, o bezpieczeństwa pracy, przeciwpożarowe... A bardzo często zupełnie pomijają to, co spina wszystkie obszary w jedną całość - technologie IT. Oraz wszystkie związane z tym podatności, które co rusz przypominają o swoim istnieniu, oczywiście w najmniej spodziewanych momentach.