Le DSI est responsable de la gestion globale du système d'information de l'entreprise, c'est-à-dire l'informatique et les télécommunications. Bien qu’il soit responsable du système d’information, il n’est pas responsable de la définition de sa sécurité mais de l’application de celle-ci.

Si le DSI gère également la sécurité informatique de l'entreprise, cela peut entraîner un conflit d'intérêts. En effet, le DSI est responsable de la performance du système d'information, ce qui peut parfois entrer en conflit avec les exigences de sécurité.

C'est pourquoi il est important pour les entreprises qui ne disposent pas de RSSI de faire appel à des experts externes pour les aider à gérer la sécurité de leur système d'information.