數位安全就是風險管理

絕對的電子安全，是不可能的。不管你花了多少錢買五花八門的科技、讓你的員工上多少訓練課程、雇用多少顧問，你還是會遭受攻擊。花的錢愈多，花得愈聰明，可以降低損害，但不可能完全倖免於難。那麼，到底該花多少金錢與時間在電子安全上呢？
這個問題，沒有一個簡單的答案。對一個組織有效的方法，用在另一個組織，可能完全錯了。電子安全，實際上是風險管理，要在成本和風險之間，找個平衡點。在做出任何投資、政策、管理的決定之前，第一件要做的事，就是冷靜精明地評估風險。

假設所有可能的攻擊

首先，試著想像所有可能破壞安全的方法，就是建立「威脅模式」。這個說來容易，做來難。安全大師史耐爾形容，就好像有人想在鬆餅店白吃白喝，他可以抓了鬆餅就跑，或是用偽造的信用卡、鈔票付帳，他還可以有各種千奇百怪的方法。對店家而言，光是看緊鬆餅、加強餐廳的付費系統安全，是不夠的。這套威脅模式，有助思考所有可能的攻擊方式。
下一步，是決定各個戚脅對公司可能造成的傷害。先評估可能的損失，及每年可能發生的頻率。再把二者相乘，得到的就是「年度損失預期」，這有助了解某項威脅的嚴重性。有些威脅可能造成嚴重的損失，但極少發生。有的常發生，但造成的損失不大。
最後一步，是研究防範這些攻擊所需的成本。應對攻擊的方法很多：減輕損害(運用預防性科技及政策)丶外包(將風險轉給別人)以及保險(將剩下的風險，轉給承保人)。
例如，如果你擔心你的網站遭受攻擊，你可以用防火牆來減少風險。你也可以將之外包，請專門公司為你管理網站，並維護安全。你也可以買保險，這樣即使遭受攻擊，也可得到補償。每一種解決方式，都要付出成本，要決定採用哪種方式之前，你必須在損失與成本之間，做個取捨。

不同組織需要不同保證

國際標準組織在二〇〇〇年提出國際「資訊安全」標準，稱為ISO一七七九九，風險評估即是最基本的要求。但英國安全顧問公司I-Sec的戴維斯指出：「即使同樣都獲得ISO一七七九九認證，但一家製造業公司和一家銀行的系統，完全不同。」ISO一七七九九並未提出確保安全所應採用的技術或程序，只是廣泛要求應達成的安全結果。即便如此，有標準總比沒有好。
不同的組織，需要不同層次的保護，面對攻擊時，應對的方式也不同。例如大公司，可能需要專職的安全處理團隊。微軟的査尼指出，一旦遭受攻擊，處理團隊必須決定，應該先防衛還是要先調查擋掉攻擊將驚動攻擊者，使得蒐證困難；但讓攻擊持續以確認攻擊者，卻可能造成損害。如何抉擇，視情況而定。如果是軍事單位，務必追出攻擊者，如果是網路公司遭青少年入侵，則只需要擋掉攻擊。
對中小型企業而言，「安全監控管理」是項合理的選擇。提供這項服務的公司，在客戶的網路上裝設「哨兵」軟體及設備，傳送源源不絕的資訊給集中處理中心。處理人員監視是否有異常現象，一旦發現可疑事項，馬上提出警告。聘用專業人才監控有個優點：他們同時監看許多網路，可從中看出發展趨勢。

安全科技有利也有弊

一心想靠科技解決問題，是行不通的。安全科技在兩個方面，壞處大過好處。
第一，有些號稱能提高安全的方法，可能有侵犯民權的副作用。機場的臉部掃描系統，就是個好例子。它對辨識恐怖份子毫無幫助，卻讓民權人士擔心，它可能被移作他用。
同樣的，有些新法案提議擴大監聽範圍，並攔截網路通訊，以對抗恐怖主義。但這真有助提高安全嗎？「設計不良的安全系統，才需要大範圍的監視，」史耐爾指出，美國政府沒有事先偵測到九一一事件，問題不在資料蒐集，而在資料分享及詮釋。太多的監聽，製造太多的資料必須交換、分析，反而會使問題更嚴重。以人員來蒐集情報，效果會比較好。
安全科技壞處大過好處的第二個地方，是企業界。聲稱能提高安全性的科技，常會強化製造廠商的支配地位。
總而言之，安全必須在成本及風險間求得平衡，並妥善運用科技及政策。最難的，是決定在什麼情況下，什麼是「妥善」的——太少會帶來危險，而且成本高昂；但太多也會造成同樣的問題。