Auf die Frage, wer für die Festlegung der Sicherheitsrichtlinien verantwortlich ist, gebe es laut Watchguard keine eindeutige Aussage. 23 Prozent sehen die Verantwortung der Sicherheitsrichtlinien beim Chef der IT-Abteilung, 22 Prozent bei den IT-Administratoren und 18 Prozent sehen sie bei der Geschäftsleitung. In Neun Prozent der befragten Unternehmen gebe es keine Sicherheitsrichtlinien.
Anna Focks von Watchguard kommentiert die Ergebnisse, dass die Verantwortung für die IT-Sicherheit oft "fälschlicherweise immer noch alleine der IT-Administrator" trage, obwohl es beim Datenschutz um viel Wert und Geld gehe. Sie empfiehlt, Richtlinien und Verantwortung schriftlich auszuformulieren, sowohl allgemein, wie beispielsweise für das Verhalten im Notfall oder bei Datenvernichtung, als auch themenspezifisch, etwa bei Internet-Nutzung oder den Umgang mit E-Mails. Ausserdem sollten die Verantwortlichen "die Mitarbeiter verständlich über Dos and Don'ts aufklären, damit sie geschützt sind. Und da das Thema sehr wichtig ist, sollte es von ganz oben, also von der Chefetage aus, verantwortet werden." (aro)