Die Prozesse im IT-Sicherheitsmanagement sind oftmals zu langwierig, als dass Verantwortliche angemessen auf akute Bedrohungen reagieren können.
Teilweise vergehen mehrere Wochen bis Sicherheitslücken geschlossen sind.
Vor dem Hintergrund der aktuellen Bedrohungen durch die Sicherheitslecks im Internet Explorer befragte AMPEG ( http://www.ampeg.de ) IT-Sicherheitsverantwortlichen großer Unternehmen zu ihren Update-Prozessen. Rund 90 Prozent der Befragten unterziehen demnach Updates einer internen Prüfung, bevor sie im Unternehmen ausgerollt werden. Nur 32 Prozent der Unternehmen schaffen diese Prüfung in wenigen Stunden. Mehr als die Hälfte benötigt dafür einen kompletten Tag oder länger. In manchen Fällen kann allein die Prüfung bis zu einer Woche dauern. Bis die Patches im gesamten Unternehmen ausgerollt sind, vergehen teilweise  bis zu vier Wochen.

Aber auch wenn Prüfung und Rollout schnell erfolgen, können nur 59 Prozent der Befragten überhaupt sicher beantworten, ob der Rollout erfolgreich war.
So kommt zum Problem der fehlenden Schnelligkeit noch zusätzlich das Problem der mangelnden Transparenz. Dadurch kann die Qualität der Updateverteilung und somit der IT-Sicherheit nicht überprüft werden.

Wie schlecht es um das IT-Sicherheitsmanagement in deutschen Unternehmen bestellt ist, zeigt unter anderem der Verlauf der Verbreitung des Conficker/Downadup. Der Wurm hat seit Erscheinen vor einem Jahr bis heute
6,5 Mio. IP-Adressen weltweit infiziert. Da die Zahl weiterhin ansteigt, zeigt dies, dass noch immer nicht alle Institutionen gepatcht haben. ( siehe Grafik )