Trots att många företag har implementerat informationssäkerhetsprogram och även certifierat sig enligt internationellt erkända standarder, såsom ISO27001, ser vi ofta exempel i media på att dessa organisationer drabbas hårt av säkerhetsincidenter. Varför misslyckas dessa program, trots intentioner om och åtgärder för god motståndskraft?