De kans dat een Distributed Denial of Service (DDoS) aanval een website of webapplicatie van een bedrijf plat legt is vele malen groter dan dit door brand gebeurt, toch houden maar weinig bedrijven hiermee rekening. Beveiligingsbedrijf Arbor Networks onderzocht het afgelopen jaar het aantal DDoS-aanvallen die bij zo'n honderd verschillende internetproviders plaatsvonden. In totaal werden er 350.367 incidenten gemeld, waarbij ruim 20.000 aanvallen boven de 1 Gbps uitkwamen. 2761 aanvallen wisten zelfs meer dan 10 Gbps aan verkeer te genereren.

Brand
Veel ondernemingen beschikken niet eens over 1 Gbps aan bandbreedte, toch vond er in 2009 elke 26 minuten een DDoS-aanval van deze omvang plaats. Wordt er naar het totaal aantal aanvallen gekeken, dan is het ongeveer elke 90 seconden raak, waarbij een groot gedeelte langer dan acht uur aanhoudt. "De meeste bedrijven houden tijdens het plannen van risico's en management gerelateerde processen geen rekening met DDoS-aanvallen", zegt Danny McPherson van Arbor Networks. Volgens hem is de kans op een DDoS-aanval groter dan schade door brand.

Toch doen deze ondernemingen alle moeite om aan verplichte compliance eisen voor integriteit en vertrouwelijkheid te doen, maar de derde pilaar, beschikbaarheid, telt niet mee. "Dit wordt mogelijk veroorzaakt door auditors met vrij statische lijsten van controls om de risico's van traditionele lekken te beperken." Pas als men wordt aangevallen houdt men hier wel rekening mee, maar dan is het al te laat. "Mensen moeten hun 'internet-beschikbaarheid' tijdens het plannen van risk management dan ook als een middel zien", besluit McPherson