ในปัจจุบันมีหลายๆ องค์กรในประเทศไทยเริ่มทำมาตรฐานด้าน Security หรือ Implement ในส่วน Security Framework มากขึ้นเรื่อยๆ
แต่ก็มีหลายๆ องค์กรที่มีความคิดว่าเราไม่ใช่ Targets ที่ผู้ไม่ประสงค์ดีจะโจมตี ซึ่่งความคิดนี้เป็นคิดที่อาจจะผิด เนื่องจากปัจจุบันการโจมตีทางด้าน Cyber หลายๆท่านจะคิดว่าคือการขโมยหรือ Hack เอาข้อมูลอย่างเดียว แต่บางจุดมุ่งหมายอาจจะต้องการเอาบริษัทหรือหน่วยงานเราเป็นแหล่งในการโจมตีต่อไปที่อื่นก็ได้
หรือองค์กรที่ได้รับการรับรองมาตรฐานหรือ Framework ที่เกี่ยวข้องกับ Security เช่น ISO 27001, ISO 27017, PCI DSS, GDPR เป็นต้น ก็อาจจะคิดว่าเรามีมาตรการที่เข้มแข็งพอสมควรและชะล่าใจว่าเราไม่ไถูกโจมตีแน่ๆ แต่หารู้ไม่ว่าพวกกลุ่มผู้ไม่ประสงค์ดีนั้น อาจจะมีความต้องการที่จะทำลายกำแพงเหล่านั้น เพื่อสร้างความมั่นใจและเป็นที่ยอมรับในกลุ่มว่าเรามีความสามารถในการเข้าถึงระบบถึงแม้องค์กรนั้นได้รับการรับรองมาตรฐานหลายๆ ที่ก็ตาม
นั้นจึงเป็นที่มาว่าการทำเรื่อง Security จะไม่มีวันที่เราสามารถหยุดได้ ว่าแค่นี้เพียงพอแล้ว แต่เป็นการที่เราต้องเฝ้าระวังและ Alert ตลอดเวลาไม่หยุดนิ่ง อีกทั้งการทำเรื่องนี้ไม่ใช่เป็น Sunk Cost แต่เป็นการลงทุนมากกว่า เพราะเหตุร้าย อาจจะเกิดกับเราในอนาคตก็เป็นได้