W zarządzaniu bezpieczeństwem informacji kluczowe jest testowanie poszczególnych scenariuszy awaryjnych. Jeśli tego nie zrobimy, możemy być pewni, że nasz plan nie zadziała. Niespodziewany kryzys to ostateczny sprawdzian dla skuteczności przygotowanych wcześniej procedur.
Kryzysu nie można przewidzieć, ale można się na niego przygotować. Dlatego każda firma chcąca zabezpieczyć się na tę okoliczność w zarządzaniu informacją powinna przede wszystkim dokonać pogłębionej analizy obszarów, w których mogą wystąpić niespodziewane awarie o poważnych konsekwencjach. Innymi słowy, kluczowe jest zwrócenie uwagi na to, co wpływa na ciągłość przychodów organizacji. Mogą to być np. kanały sprzedażowe albo łańcuchy dostaw. Następnie należy zastanowić się, jakie sytuacje mogą tę ciągłość zakłócić lub wręcz przerwać. Firma powinna więc wyobrazić sobie kilka scenariuszy sprawiających, że nagle nie może sprzedawać swoich produktów czy usług.