Es el trabajo de un ejecutivo para administrar los riesgos. Si cree que la seguridad debería retrasarse, es su decisión tomar esa decisión.
Dicho esto, debes asegurarte de que sea una decisión educada. Como siempre, esto necesita una lista tan completa como sea posible de amenazas, probabilidades y posibles daños que puedan ocurrir. Así, por ejemplo, alguien podría robar la base de datos de clientes. O se podría instalar una puerta trasera en sus productos.
El problema aquí es que la probabilidad es a menudo desconocida o estás en una situación N * M donde N es la probabilidad y M es el daño y N es mucho más pequeño que M. es como las plantas nucleares en Japón: el daño posible es enorme pero la probabilidad de un incidente es realmente muy pequeña. "Una vez en 100'000 años". Esa "una vez" puede ser mañana (y fue en varios casos como todos hemos visto). Entonces, en este caso, el número resultante es bastante inútil.
Lo que haría sería asegurarme de que el ejecutivo esté tomando una decisión educada: conectaría su salario con el riesgo. Si tiene razón, recibe una bonificación de grasa. Si se equivoca, los daños deben ir en contra de su riqueza personal, primero.
Este tipo de red de seguridad generalmente se asegura de que las personas no se arriesguen demasiado. Pero también puede detener su inicio ya que el administrador podría dejar de tomar riesgos.