Tutkimuksessa selvitettiin mitä hyökkäyspinta ja uhka-alttius käsittää sekä miten yritykset kokevat perinteisen riskienhallinnan tarpeellisuuden, kun vertailukohdaksi asetetaan dynaamisempi ja automatisoidumpi prosessi. Lisäksi tarkoituksena oli selvittää, miten hyökkäyspinnan ja uhka-alttiuden hallinta ilmenee yritysten toiminnassa ja miten sitä voidaan hyödyntää. Hyökkäyspinnan ja uhka-alttiuden aihealue tutkittiin kirjallisuuskatsauksena hyödyntämällä alaan liittyviä tutkimuksia, raportteja, artikkeleita, blogikirjoituksia, verkkosivuja ja kirjallisuutta. Kyselytutkimus toteutettiin kahdeksalle suomalaiselle IT-alan yritykselle, joiden tarkempi toimiala oli jaoteltu kolmeen kategoriaan. Yritysten koot vaihtelivat mikro- ja suuryritysten välillä. Kysely toteutettiin sähköpostin liitteenä olleella kyselylomakkeella, joka sisälsi niin määrällisiä, kuin laadullisiakin kysymyksiä. Vastausprosentti oli 57,1 %. Vastausten analysointi tehtiin määrällisten vastausten osalta käsittelemällä tilastollisia tunnuslukuja. Muuttujien välisiä riippuvuuksia tulkittiin korrelaatiokertoimella. Kysymysten vastausfrekvenssien esittämiseen käytettiin taulukointia. Avointen kysymysten kohdalla käytettiin luokittelua, jolla tuettiin monivalintakysymysten analyysin tuloksia. Perinteinen vaikutukseen ja todennäköisyyteen perustuva riskienhallinta koetaan suurelta osin tarpeelliseksi, mutta se sai osakseen myös kritiikkiä useilta vastaajilta ja muilta tutkijoilta. Tutkimuksessa havaittiin hyökkäyspinnan ja uhka-alttiuden nousevan selkeämmiksi trendeiksi vasta tulevaisuudessa, vaikka hyvinkin automatisoidut järjestelmät ovat jo saapuneet markkinoille. Erityisesti hyökkäyspinnan hallintaan keskittyvät sovellukset ja palvelut eivät ole kyselytutkimuksen perusteella suomalaisissa IT-yrityksissä juurikaan käytössä. Yritykset kokivat oman hyökkäyspintansa kasvaneen, mutta eivät kuitenkaan pääosin kokeneet tarvetta päivittää nykyisiä prosessejaan uusilla järjestelmillä tai palveluilla. Tulosten perusteella voi päätellä, etteivät yritykset koe tarpeelliseksi yhä dynaamisempien tai automatisoidumpien järjestelmien integroimista omaan tietoturvan hallinnan prosessiinsa. Tähän vaikuttaa selkeästi yritysten itsevarmuus nykyisistä prosesseistaan ja järjestelmistään. On kuitenkin tunnistettava, että yritykset ovat pääosin kokeneet hyökkäyspintansa kasvaneen ja tätä myötä suojausmekanismien monimutkaistumiselle voi kuitenkin tulla tarve tulevaisuudessa.