La question de la sécurité informatique est complexe et peut nécessiter une réponse forte et cohérente dans le temps. La sécurité peut être à la fois un projet et un processus dans le sens où les entreprises peuvent concevoir des projets de sécurité pour mettre à niveau leurs systèmes tout en entreprenant un processus continu pour maintenir et améliorer ces projets pour l'avenir. La complexité des types d’attaques auxquels les entreprises et autres parties sont confrontées nécessitent des réponses dédiées, complexes et multicanaux.
Une entreprise peut développer un projet de sécurité spécifique avec son propre calendrier et ses propres ressources, mais il est probable qu'un processus de sécurité s'appliquera également, dans lequel des professionnels travailleront au fil du temps pour assurer la sécurité et répondre à toute cybermenace ou autre problème de sécurité. Les entreprises peuvent bénéficier de l’affectation de personnel dans l’un ou l’autre de ces deux rôles, où la création et la maintenance sont toutes deux des priorités en termes de protection des secrets commerciaux, des données clients et de tout autre actif de données précieux.
La double nature de la sécurité informatique est démontrée dans les rapports du gouvernement américain qui parlent du développement du cycle de vie des projets de sécurité. Ces ressources sur une sécurité adéquate et complète soulignent qu'une sécurité adéquate implique souvent une vigilance et une maintenance continues, plutôt qu'une installation ou une configuration ponctuelle. Les experts parlent d'un processus en plusieurs étapes pour les pratiques de sécurité, qui peut inclure une boucle de données qui récupère des informations afin de créer de futurs protocoles de sécurité. Les agences fédérales extérieures et d'autres groupes conseillent souvent les entreprises sur la nécessité de stratégies de sécurité continues et efficaces.
Au sein de la communauté de la sécurité, il existe l'idée que la sécurité est plus qu'une simple architecture de sécurité, qu'il s'agit d'une sorte de processus vivant dans lequel les professionnels doivent s'occuper des technologies que l'entreprise utilise pour assurer une sécurité adéquate de l'entreprise. Cela peut impliquer une surveillance étroite des ressources réseau, des politiques émergentes pour la sécurité des points finaux, des réponses et des réactions aux nouveaux virus, logiciels malveillants et attaques, ou tout autre élément susceptible d'améliorer une architecture de sécurité au fil du temps.