일부 IT보안 전문가들은 양적(量的)인 위험 분석방식을 채택하고 있는데 이들은 이 방식이 외부 침입 가능성과 그 결과를 측정할 수 있게 해 준다고 주장하고 있다. 이 방법은 보안 관련 예산을 책정할 때 사용된다. 또 다른 전문가들은 과거 침투기록과 예측 가능한 기술 및 환경을 바탕으로 하는 양적인 분석방식을 사용하고 있다. 하지만 IT시스템에 대한 침투 위험요소는 고정되어 있는 것이 아니어서 새로운 위험요소가 계속 나타나고 있다. 또 네트워크 보안사고에 대한 신빙성 있는 자료가 없고 사건 유형별 분류에 문제점이 있다. 믿을 수 있는 데이터가 없다면 통계적 모델은 무용지물이 될 것이다. 이에 미국정부는 지난 97년 양적인 분석방식을 폐기했고 이후 이 접근방식을 유용하게 하는 변화는 전혀 일어나지 않았다.
그보다는 기업 이미지가 실추되거나 중요한 정보가 유출되는 위험을 질적(質的)으로 분석하는 방식을 사용하는 것이 더 바람직하다. 기업체들은 보안의 취약성을 양적으로 측정하는 것보다는 위험성의 우선순위를 정해야 한다. 모든 위험 요소의 비중을 다같이 취급하면 여러 보안 프로젝트 사이의 차이점을 구분하기 어렵기 때문이다.
보안의 위험성을 측정하기 위해서는 보안상태를 매일 점검·감시하고 거래사항 관리(TIM)팀을 설치하며, 보안 벤치마킹을 실시하고, 전문가의 진단을 받고 보안 표준을 설정하며, 보안 시나리오를 평가하는 등의 조치를 취하는 것이 바람직하다.
시스템의 보안 침투 위험성은 서드 파티로 하여금 매일 점검하고 침투 가능성을 기업에 통보하게 할 수 있다. 이 경우 보안감시 업체는 기업 시스템의 취약성을 정기적으로 점검하고 어떤 허점이 발견되면 이를 보완하도록 통보해야 한다. 이와 함께 보안 전문직원을 채용하여 문제가 발생하면 언제나 그 문제를 처리하도록 해야 한다. 이 접근방식을 통해 하위 보안인프라 문제를 해결할 수 있다.
TIM팀은 전자상거래의 기본적인 보안문제를 처리한다. 이 팀은 사업관련 소프트웨어의 사용을 감시하고 응용 프로그램을 조사하여 안전한 거래가 이루어질 수 있도록 해준다. 이 팀은 일상적인 시스템의 운영상태를 감시하고 이상 징후를 점검하며 회사의 보안정책에서 벗어나는 현상이 없는지에 주안점을 두고 감시한다.
보안기술에 대한 종합적인 보고자료는 오는 2004년까지 그리고 종합적인 보안관리 방식은 오는 2006년까지 확보하기 어려울 것으로 보인다. 하지만 정보보안책임자(CISO)는 보안 위험성과 대응책에 대한 평가와 기업 보안체제의 성숙도 등을 포함한 신빙성 있는 정보를 경영진에게 보고할 수 있어야 한다. 이런 점에서 다른 유사 업체와 비교하는 벤치마킹을 하는 것이 바람직하다. 이것이 이상적인 방법은 아니지만 객관적인 근거가 없는 가상 침투 가능성에 바탕을 둔 보고서보다는 더 낫다.
IT보안기술 분야 전체적으로 보면 전문 지식이 많이 있다. 하지만 이런 풍부한 지식은 비용이나 실용성 문제 때문에 제대로 활용되지 않고 있다. 전문가의 판단이 잘못될 경우도 있으나 광범위한 경험을 가진 이들의 판단은 유익한 자원이 될 수 있다. 전문가의 판단에 의존하는 것이 어려운 일이지만 이들의 판단을 평가하는 몇 가지 표준적 기준이 나와 있다. 그 중 대표적인 참고자료는 BS 7799, ISO 17799, http://www.riskserver.co.kr/bs7799 등에서 볼 수 있다.
보안 시스템은 필요하지만 이를 설치하는 데는 위험이 따른다. 보안기술이 어느 방향으로 발전할지 예측하기가 어렵기 때문에 어느 보안기술을 채택하느냐 하는 것이 간단한 문제는 아니다.