Questa è una buona domanda, e la risposta a questa precisa domanda- "dovrei dire a X che Y è non sicuro " è quasi sempre "No". È meglio non dare dichiarazioni nel vuoto a un contesto superiore fornendo spiegazioni.
Un capo ha bisogno di informazioni utili e di una cornice per prendere una decisione. Nessuna informazione trattabile è trasmessa in quella particolare scelta di linguaggio e nessuna decisione è presentata. Inoltre, i termini "sicuro" e "non sicuro" hanno un significato utile solo per gli ingegneri della sicurezza, i quali capiscono che nulla è effettivamente sicuro e la maggior parte delle cose che non sono sicure possono ancora essere solo raramente compromesse, perché ci sono così molte cose non sicure là fuori.
Un modo migliore per inquadrare problemi come questo è lavorare sulle implicazioni e trasmettere lo stato di gioco come una decisione che potrebbe essere presa. La decisione qui è se investire nel passaggio a un altro protocollo, magari attraverso il cambiamento dei fornitori IT.
Un utile, ma non solo, modo per inquadrare una decisione di investimento in materia di sicurezza è in termini di spesa in dollari per una forma di assicurazione. Ci sono molti, molti altri domini di considerazione, in particolare nel contesto della sicurezza - regolamentazione e conformità, preoccupazioni di fiducia dei clienti che non possono essere espresse in termini di dollari e altri. Ma allo stesso modo in cui il ROI è un linguaggio comune utile per guardare al lato degli investimenti e della crescita di un'azienda, il costo dell'assicurazione è un modo utile per guardare al lato del rischio di un'azienda.
Qui, da un lato, si vogliono esaminare i costi in dollari e il tempo necessario per eseguire un aggiornamento o una transizione e l'impatto sul flusso di lavoro.
Dall'altro lato, si vuole fare una stima dei costi di una violazione. Il processo di base consiste nell'identificare i potenziali esiti di una violazione, stimare l'intervallo di costi per gestirli e stimare la probabilità che si verifichino in un determinato periodo di tempo.
Questo può sembrare molto da stimare, ma tutto ciò che si desidera è un campo di gioco molto, molto approssimativo di potenziali scenari casuali, e per una piccola azienda con un piccolo numero di risorse / clienti / implicazioni, si dovrebbe essere in grado di fallo abbastanza velocemente. Tutto ciò che è veramente necessario determinare è se si parla di una perdita prevista di $ 1.000, $ 10.000, $ 100.000 o $ 1.000.000.
Il costo dell'aggiornamento è l'assicurazione contro la perdita potenziale. Un capo sarà in grado di decidere se ottenere l'assicurazione. Se lo fanno, bene. Se non lo fanno, va bene anche questo. Se dopo il processo ti rendi conto che alcuni dei costi o dei rischi sono stati fraintesi, come si suol dire, benvenuto nel club! Basta continuare il dialogo. Il capo lo apprezzerà.
Buona fortuna.