Como parte de la gestión continua de la ciberseguridad, es necesario comenzar con un enfoque estratégico guiado por los objetivos comerciales, la arquitectura empresarial y las regulaciones de la industria. 

​

Gestionar la ciberseguridad al comprender el nivel de exposición a los riesgos de seguridad con los que opera actualmente la organización ayuda a justificar los presupuestos para diversas áreas que la organización debe abordar. También ayuda a definir claramente las prioridades, permitiendo tener una mejor manera de medir el retorno de las inversiones. 

​

Todo esto permite a la organización tener una comprensión clara del nivel de riesgo aceptable para el negocio.