犯这宗罪的通常是上层管理人员；这种情况下，公司投入了大量的时间和财力来遵守政府法规和行业标准，比如《健康保险可携性及责任性法案》（HIPAA）或《支付卡行业数据安全标准》（PCI DSS），随后一旦遵守规定的需求一一得到了满足，就不管它了。

    专家们一致认为，虽然这些法规在网络安全方面提供了一个良好的开端，但它们绝对没有涵盖保护数据必不可少的所有需求。

    加拿大的独立安全顾问Timothy Brush表示，以为遵守规定就安全了这种观点类似这种错误：把安全看成是个项目，而不是看成是个流程。上层管理人员把安全看成是必须上马的一个项目，通常是为了遵守规定，之后就失去了兴趣。

    Brush强调：“安全领域（包括技术、厂商、攻击途径和安全漏洞等）在不断变化。最新的技术和程序可能也许会暂时改善一家公司的安全状况。技术包括防火墙、入侵检测系统/入侵预防系统（IDS/IPS）、身份管理系统以及近期流行的厂商驱动技术；程序包括政策、标准、框架和业务流程。”但是过了一年或五年后，最新的技术和程序可能没有太多帮助。

    Techtonica公司总裁Daniel Blander是认证信息安全经理（CISM）兼信息系统安全认证专业人员（CISSP），他看到这宗罪一次次地上演。他在最近介绍后PCI时期审计难题的报告中提到了这宗罪。

    他说：“管理人员开展了两个PCI项目后，最大的毛病通常是这种观念‘好了，现在遵守规定了，所以大功告成了。’虽然有些管理人员知道为什么要遵守PCI，但不知道全面的风险管理。之后保持注意力才是最大的挑战。”