Das Konzept der Speicherung von Unternehmensdaten an einem einzigen, zentralisierten Ort ist heute typischerweise nicht mehr gültig. Daten werden auf mehrere Standorte verteilt, von denen sich viele der Kontrolle des Unternehmens entziehen. Wo auch immer Daten sich befinden, sind IT-Unternehmen weiterhin dafür verantwortlich, sie beim Transport zu schützen. Dieses Problem tritt am deutlichsten bei Software-as-a-Service-Anwendungen (SaaS) zutage. Ihre Verwendung ist mit traditionellen Sicherheitsmaßnahmen schwer zu kontrollieren, ihre Transparenz schwer aufrechtzuerhalten. Da SaaS-Anwendungen von den Endbenutzern direkt eingerichtet und verwendet werden, sind keine Berechtigungen notwendig, um auf sie zuzugreifen oder sensible Unternehmensdaten auf sie zu übertragen. Dies stellt eine erhebliche Herausforderung dar im Umgang mit Endbenutzern, die als ihre eigenen IT-Abteilungen agieren und ihre Nutzung dieser Anwendungen ohne Expertise in der Beurteilung und Prävention von Daten- und Bedrohungsrisiken kontrollieren.