Ключевым фактором для построения эффективной защиты информационной системы считается:

Наличие специалистов-безопасноков.
Определения перечня защищаемых ресурсов.
Анализ и управление информационными рисками.
Построение моделей угроз и нарушителя информационной безопасности.

К сожалению, у нас пока нет статистики ответов на данный вопрос, но мы работаем над этим.