När information har klassificerats kan systemets informationszoner identifieras. Det ställs olika krav på separationen mellan olika informationszoner vilket leder till krav på inre gränsytor med olika egenskaper för att rätt skydd ska kunna realiseras mellan informationszonerna.

För att kunna avgöra hur mycket kraft som ska läggas på IT-säkerhetsåtgärder måste hotbilden analyseras. Det behöver klaras ut vilka hot systemet ska skyddas mot. Det görs ofta med en riskmatris där konsekvensen av ett realiserat hot värderas med sannolikheten för att hotet ska realiseras. Hög konsekvens och hög sannolikhet leder till hög risk som måste bemötas.

Ett typiskt hot är insiderhotet. Insidern kan förekomma i skalan från omedvetet oförsiktig till medvetet illvillig. Hela skalan går att skydda sig mot med olika åtgärder, men någonstans går gränsen för vad som är kostnadseffektivt att skydda sig mot med tekniska lösningar och vad som istället ska lösas med metod. Ingen teknik kan skydda system mot alla upptänkliga insiders, så man behöver tidigt klara ut vem det är man faktiskt ska skydda sig mot.

När systemet är taget i drift arbetar det i en omgivning full av potentiella aktörer. Det finns säkerhetsadministratörer, systemerare, ordinarie användare, underhållspersonal, städare och andra aktörer som interagerar med systemet och dess omgivning. Flera av dessa kan vara medvetna eller omedvetna insiders.

Systemet i sig kan vara upprättat i bergrum långt inne på eget territorium – liten exponering – eller bäras av flygande farkoster nära fientliga förband – stor exponering. Systemet kan ha stora mängder yttre gränsytor där stora datamängder passerar – stor exponering – eller endast några få – liten exponering.

Den miljö som systemet verkar i exponerar systemet mot olika hot. Ju större exponering, desto kostsammare att konstruera systemet IT-säkert. Väl avvägda organisatoriska eller administrativa åtgärder kan vara kostnadseffektiva åtgärder för att minska exponeringen och därmed förenkla IT-säkerhetsarbetet. Att minska mängden användare med administrativ behörighet i systemet kan leda till minskad exponering, men det kan också leda till att en personalkategori blir nyckelpersoner som inte är gripbara i tillräcklig omfattning vilket kan gå ut över tillgängligheten om exempelvis reparationer kräver högre behörigheter.

Det hjälper inte hur bra kraven är ställda på IT-säkerheten i ett system, när det kommer till realiseringen är det konstruktionen som skiljer agnarna från vetet. En undermålig konstruktion leder ofelbart till brister som kan utnyttjas av en angripare. Komplexa IT-system bygger på integration av många olika underleverantörers komponenter. Alla underleverantörer har olika mognad avseende IT-säkerhet och konstruktionen kommer därför att med nödvändighet bestå av komponenter framtagna med varierande grad av assurans, dvs vår tillit till att produkterna gör vad de ska och inte innehåller säkerhetshål. Säkerheten måste därför konstrueras i lager med högassuranskomponenter, lågassuranskomponenter och övriga komponenter så att fel och brister i komponenter kan kapslas in för att inte bli åtkomliga för en angripare.

För att ge tilltro till att konstruktionen verkligen håller mot en angripare genomförs oberoende penetrationstester. Experter på området ges fria händer att ta sig in i systemet och resultatet tas om hand för att täppa till eller kapsla in de brister som hittas.

Att konstruktionen och inte kraven är avgörande för hur IT-säkert systemet blir innebär stora utmaningar för en upphandlande myndighet. Det är i princip omöjligt att upphandla helt IT-säkra system i konkurrens eftersom IT-säkerhetsåtgärder är kostnadsdrivande. En anbudsgivare som räknar bort sig på IT-säkerheten, till exempel på grund av otillräckliga erfarenheter, offererar det lägsta priset och vinner upphandlingen. Konstruktionen kommer då att bli därefter och tyvärr visar sig inte detta förrän på slutet när konstruktionen ska skärskådas med oberoende penetrationstester. Då kan det vara alldeles för sent att rädda projektet.

Konceptet för framgång grundar sig på samarbete mellan myndighet och industri, där konstruktionen i form av en IT-säkerhetsarkitektur tas fram i samverkan mellan industrin och IT-säkerhetsexperter innan beställningen på systemet läggs. Detta står i motsatsförhållande till normala förfaranden i upphandlingar och kan ytterst påbjuda att flera konkurrerande IT-säkerhetsarkitekturer får realiseras innan en av dem vinner och de andra förkastas.