Die Initiative zum Aufbau und Ausbau der IT-Sicherheit muss von der Leitung des Unternehmens ausgehen. Sie trägt die volle Verantwortung dafür, dass das Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten sowie interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden (siehe oben). Die Leitung sollte dementsprechend ein Interesse daran haben, das auch die Gewährleistung der Informationssicherheit zur Unternehmenskultur gehört. Und es sollte ihr bewusst sein, dass eigenes vorbildliches Sicherheitsverhalten auch motivierend auf die Mitarbeiter wirkt.