Esta es una buena pregunta, y la respuesta a esta pregunta precisa: "debo decirle a X que Y no es seguro " casi siempre es "No". Es mejor no dar declaraciones en un vacío a un contexto y explicaciones superiores.
Un jefe necesita información procesable y un marco para tomar una decisión. No se transmite información procesable en esa elección particular de idioma, y no se presenta ninguna decisión. Además, los términos "seguro" y "no seguro" tienen un significado útil realmente solo para los ingenieros de seguridad, quienes entienden que nada es realmente seguro, y que la mayoría de las cosas que no lo son pueden estar aún poco comprometidas, porque existen Muchas cosas no seguras por ahí.
Una mejor manera de enmarcar temas como este es trabajar a través de las implicaciones y transmitir el estado de juego como una decisión que podría tomarse. La decisión aquí es si invertir en cambiar a otro protocolo, tal vez a través del cambio en los proveedores de TI.
Una forma útil pero no solo de enmarcar una decisión de inversión de seguridad es en términos de gasto en dólares en una forma de seguro. Hay muchos, muchos otros dominios de consideración, particularmente en el contexto de seguridad y cumplimiento normativo, inquietudes de confianza del cliente que no pueden expresarse en términos de dólares, y otros. Pero de la misma manera que el ROI es un lenguaje común y útil para analizar el lado de la inversión y el crecimiento de una empresa, el costo del seguro es una forma útil de analizar el lado del riesgo de una empresa.
Aquí, por un lado, uno quiere ver los costos en dólares y el momento de realizar una actualización o transición, y el impacto en el flujo de trabajo.
Por otro lado, uno quiere hacer una estimación de los costos de una infracción. El proceso básico es identificar los posibles resultados de una infracción, estimar el rango de costos de tratar con ellos y estimar la probabilidad de que ocurran dentro de un período de tiempo particular.
Esto puede parecer mucho para estimar, pero todo lo que quiere es un escenario muy, muy aproximado de posibles escenarios de mal caso, y para una pequeña empresa con un pequeño número de activos / clientes / implicaciones, uno debería poder haz eso bastante rápido. Todo lo que realmente necesita determinar es si está hablando de una pérdida esperada de $ 1,000, $ 10,000, $ 100,000 o $ 1,000,000.
El costo de la actualización es el seguro contra la pérdida potencial. Un jefe podrá decidir si obtener ese seguro. Si lo hacen, genial. Si no lo hacen, está bien, también. Si después del proceso se da cuenta de que algunos de los costos o riesgos fueron subestimados, como dice el dicho, ¡bienvenido al club! Sólo continúa el diálogo. El jefe lo apreciará.
Buena suerte.