Para comunicar el riesgo de pérdida de datos a una audiencia de nivel ejecutivo o de directorio, las conversaciones y los cálculos deben ir más allá de la probabilidad de que ocurra un incidente. Los CISO deben evaluar de manera efectiva el costo potencial y el impacto en la reputación de un incidente, utilizando datos y términos en los que la junta está versada. Sin embargo, aunque esta ideología no es nueva, hay muchas buenas razones por las que se ha avanzado poco para ir más allá de la retórica y establecer una metodología útil para evaluar el impacto de la pérdida de datos.