CISO は、脅威の検知/調査/対応 (TDIR:threat detection, investigation and response) のためのセキュリティ運用プログラムが、最高のパフォーマンスで実行されていることを確認している。ここでは、TDIR プログラムに影響を及ぼす可能性のある7つの主要な問題と、組織/セキュリティ運用チーム/ソリューション・ベンダーに関する問題を、CISO が解決する際に検討すべき質問について説明していく。
ネットワーク上で発生する IoC (indicators of compromise) やセキュリティ・イベントが多すぎるため、悪意の活動を適切に特定することができない。そのため、CISO は、これらのデータを効果的に関連付け、分析し、誤検知を排除できる高度なツールを求めている。CISO が最も避けたいことは、誤ったパスワード入力を繰り返すユーザーの、ログイン失敗のようなイベントに、チームが時間が浪費されることだ。