Die IT-Infrastruktur eines Unternehmens muss hohen Anforderungen hinsichtlich der Verfügbarkeit, Vertraulichkeit und Integrität der ihr anvertrauten Daten genügen. Wie hoch diese Anforderungen sind, ist von Fall zu Fall unterschiedlich. Hier spielen gesetzliche Vorgaben ebenso eine Rolle, wie externe und interne Rahmenbedingungen des Geschäftsbetriebs - beispielsweise der Wert, den Geschäftsgeheimnisse für Dritte haben oder die Kosten, die durch den Ausfall einer geschäftskritischen Anwendung entstehen können. Idealerweise fliessen die Sicherheitsanforderungen bereits in der Konzeptphase einer IT-Infrastruktur in das Design ein und können somit schon bei der initialen Implementierung und Integration berücksichtigt werden. Auch lässt sich ein System, das mit "security in mind" konzipiert wurde, regelmässig leichter an neue Anforderungen anpassen, als eines, bei dem der Sicherheitsaspekt vernachlässigt oder als lästiges Anhängsel betrachtet wurde.

Aus diesem Grund kommt dem Konzept eine besonders wichtige Rolle zu. Es lohnt sich daher meist, noch im Vorfeld der Implementierung das vorliegende Konzept Sicherheitsexperten vorzulegen, um eine unabhängige, zweite Meinung ("2nd Opinion") zu erhalten. Ist ein System implementiert, so hat das Security Audit die Aufgabe zu überprüfen, ob der IST-Zustand dem SOLL- Zustand, der sich aus den erwähnten Anforderungen ergibt, entspricht. Ein solches Audit kann sowohl vor der Inbetriebnahme erfolgen, als auch während des laufenden Betriebs.
Im Bereich Consulting von Konzepten befasst sich terreActive hauptsächlich mit Architekturen von Sicherheitslösungen und dem Erstellen von Security Policies. Architekturen definieren eine Lösung, die aus den Anforderungen des Projektes ensteht.
Security Policies hingegen definieren:

• wie eine Architektur betrieben werden soll
• was für Richtlinien für Komponenten gelten
• was für Netzwerkprotokolle und Zonen verwendet werden
• was für Verantwortungen für den Betrieb notwendig sind