Yrityksellä ei ole riittävästi tietoturvaosaamista. Riskikerroin on 1.
Jos omat resurssit eivät riitä, tehtävän voi myös ulkoistaa alan asiantuntijalle.