最高情報セキュリティ責任者（CISO）は、外部のサイバーセキュリティコンサルタントとのギャップ分析の結果を検討しています。ギャップ分析は、手続き上および技術上のすべてのコントロールを検討し、以下を見つけた。
効果の高いコントロールが実装されました：10のうち6

影響の少ないコントロールが実装されました：472のうち409

影響の少ないコントロールの実装：1000のうち97

このレポートには、各コントロールギャップのコスト便益分析が含まれています。この分析により、以下の情報が得られた。
平均的なインパクトコントロール実施コスト：$ 15,000;各インパクトの高いコントロールのための予想されるALE

ギャップ：$ 95,000
中程度のインパクトコントロール実施コストの平均：6,250ドル。中程度のインパクトごとに予想されるALE

コントロールギャップ：$ 11,000
法人組織の技術的な構成と構成のため、中程度のコントロールの50％以上が完全に実装するのに2年かかります。 CISOが分析から引き出すことができる結論はどれですか？