そうなると、Forresterの報告書には、失敗に関する同社のほろ苦いデータに加えて、「なぜ企業はインシデントレスポンス計画を立てられないでいるのか」ではなく、むしろ「なぜ企業のインシデントレスポンス計画は失敗するのか」という質問にも答えてもらいたいものだ。
Murray氏は、自らがインシデントレスポンスに関わった経験から、全ての企業はインシデントレスポンス計画を立てているばかりでなく、それを実行する準備も整っていると述べた。しかし危機に陥った際に、役人や経営陣、さらに言えばIT部門の担当者でしっかりと行動を取るように準備できている人などいるのだろうか、とMurray氏は疑問を投げかける。
「IT部門の人々は、緊急対応要員ではない」とMurray氏ははっきりと言う。「われわれは、消防士のようにストレスのある状況で物事に対応するような準備はできていないのに、それこそが必要とされている。緊急対応要員は、危機や災害に対応するよう訓練されているが、IT部門の人々はされていない」
Targetの情報流出による被害は、予防策が原因だった。しかし、最高の緊急対応要員チームがいたら、その攻撃を受けた全ての人が被った、あらゆる種類の被害を軽減できたかどうかについては、ほとんど語られていない。
原因はTargetの防衛線にあるとされ、その事実は変わらないが、その責任はもっと高いレベルにある。米国連邦議会上院による、この情報流出についての報告書によれば、「Targetは、同社の侵入検知ソフトウェアが提供した、攻撃者のいわば逃亡計画についての情報を見逃したため、攻撃者が1億1000万件もの顧客情報を盗むことを可能にした」という。
大きな影響力を持つ議決権行使助言会社である、Institutional Shareholder Services(ISS)は、前例のないことではあるが、株主に対してTargetの10人の役員のうち、7人を辞任させるように助言している。ISSは投資家に向けた声明で、次のように述べている。「役員らがこうしたリスクを適切に管理できなかったことが、情報流出のきっかけとなり、同社とその株主に重大な損失を与える結果につながったように思える」
Murray氏は、Forresterの主張の核心部分には、ずれが生じている点が多くあると説明している。経営陣は情報流出が「二度と起こらない」ようにすることに囚われているとする一方で、予防が攻撃に対する万能薬だという認識によって、インシデントレスポンス計画と意志決定は影が薄くなっているというのだ。
データもこれを裏付けている。意志決定者に、大規模な情報流出の後の12カ月間でのセキュリティ支出の変化について質問したところ、セキュリティや監査の要件の追加が1位(35%)、「セキュリティやプライバシーを定期的に評価/議論すること」(それについて話すこと)が支出の2位(32%)、予防のための技術が3位(27%)であり、インシデントレスポンスは他よりも少なく、4位だった(24%)。