ארגונים שאינם עומדים ב-20 האמצעים המוגדרים במסמך "בקרות אבטחה קריטיות" (Critical Security Controls) שמפרסם המרכז לאבטחה באינטרנט (Center for Internet Security) ייחשבו כמי שאינם נוקטים אמצעים סבירים לאבטחת מידע כנדרש לפי החקיקה בקליפורניה - כך קובע דו"ח פריצות אבטחת מידע שפרסמה התובעת הכללית בקליפורניה.

הדו"ח, שמסכם 657 אירועי אבטחת מידע שטופלו על-ידי התביעה הכללית של קליפורניה בארבע השנים האחרונות, מגלה כי 49 מיליון רשומות מידע של תושבי קליפורניה נפגעו מפריצות האבטחה וכי דווקא מידע מהסוג הרגיש - מספרי הביטוח הלאומי של תושבי המדינה (Social Security Numbers) - נפרץ בתדירות הגבוהה ביותר. פריצות למידע רפואי התרחשו באחד מכל חמישה אירועי אבטחת המידע שנסקרו ופריצות לפרטי כרטיסי אשראי התרחשו בכ-40% מהאירועים.

מלבד אימוץ האמצעים שקבע המרכז לאבטחה באינטרנט, הדו"ח ממליץ לארגונים ליישם מנגנונים כגון אמצעי הצפנה חזקים למידע המאוחסן על מחשבים ניידים ואמצעי אחסון נתיקים. הדו"ח גם ממליץ לעסקים שמציעים למשתמשים גישה באמצעות שם משתמש וסיסמה להטמיע אימות משתמש דו-שלבי (Two Factor Authentication) להגברת אבטחת הגישה לחשבונות המאחסנים מידע אישי רגיש.