È compito di un dirigente gestire i rischi. Se pensa che la sicurezza debba essere ritardata, è lui a prendere quella decisione.
Detto questo, dovresti assicurarti che sia una decisione istruita. Come sempre, questo richiede un elenco il più completo possibile di minacce, probabilità e possibili danni che potrebbero verificarsi. Quindi, ad esempio, qualcuno potrebbe rubare il database dei clienti. O una backdoor potrebbe essere installata nei tuoi prodotti.
Il problema qui è che la probabilità è più spesso sconosciuta o ci si trova in una situazione N * M dove N è la probabilità e M è il danno e N è di molti ordini di grandezza inferiore a M. È come le centrali nucleari in Giappone: il danno possibile è enorme, ma la probabilità di un incidente è davvero piccola. "Una volta in 100'000 anni". Quella "una volta" può essere domani (ed è stato in molti casi come tutti abbiamo visto). Quindi, in questo caso, il numero risultante è abbastanza inutile.
Quello che farei è assicurarmi che l'esecutivo stia prendendo una decisione istruita: collegherei il suo stipendio al rischio. Se ha ragione, ottiene un bonus grasso. Se ha torto, i danni dovrebbero andare contro la sua ricchezza personale, in primo luogo.
Questo tipo di rete di sicurezza di solito fa in modo che le persone non si assumano troppi rischi. Ma può anche uccidere il tuo start up dal momento che il gestore potrebbe smettere di correre rischi.