Att bedöma risker är inte människans största styrka. Även om det rent faktiskt är väldigt mycket farligare under bilfärden till flygplatsen än själva flygfärden är betydligt fler ändå räddare för flygresan.

På vår systersajt CSO Online konstaterar kolumnisten Roger A Grimes att samma gäller även för it-säkerhet. Även om det är så att uppdateringen av ett enda program är det som krävs för att stoppa en mängd hot så är det inte alls säkert att det är det som görs utan i stället en mängd andra saker.

Och även om att många nätbrott sker genom att förövarna genom så kallad social ingenjörskonst lurar sig in via enskilda användare så är det inte alls säkert att företag investerar i att utbilda användarna bättre.

Så vad beror det på? Här är CSO:s förklaringar: 

1. Mängden säkerhetshot överväldigar oss

Varje år dyker det upp mellan 5 000 och 7 000 nya hot, det innebär runt 15 stycken varje dag. Varenda dag. Det är inget nytt utan har pågått så länge någon har hållit koll på statistiken. Det är som att få in fler nödsamtal per dag än det finns tillgängliga ambulanser för och innebär att man måste prioritera.

2. Hajpade hot kan få oss att missa allvarligare hot

It-säkerhetsleverantörernas ständiga varningar stjälper snarare än hjälper. De hot som lyfts fram får läskiga namn och hajpen skrämmer lika mycket som själva hotet.

Samtidigt är det deras uppgift att sälja sina tjänster och de är kundens uppgift att avgöra vad som är värt att bry sig om

Överhajpandet av varje enskilt hot gör det ändå svårt att välja vilka som ska prioriteras.

Men det finns sådant som förtjänar hajpen – som Meltdown och Spectre som är ett av de allvarligaste hoten någonsin. Det påverkar nästan alla populära mikroprocessorer, tillåter angriparna att osynligt ta sig in i datorerna, kräver ofta flera olika patchar och gör datorn långsammare när problemet är löst. Ibland är den bästa lösningen att helt enkelt köpa en ny dator.

Trots det är det få utanför it-säkerhetskretsarna som bryr sig särskilt mycket. Och eftersom det ofta krävs uppdateringar av inbyggda program, något som konsumenter sällan sysslar med, så kommer det att finnas hundratals miljoner sårbara datorer i många år framåt. Och orsaken är hajputmattningen.

Läs också: Efter Meltdown-fiaskot: Nu rullar Microsoft ut patchar till AMD igen

3. Dålig hotanalys förvränger fokus

En fungerande hotanalys ska titta på alla tusentals säkerhetshot, urskilja vilka man löper störst risk att råka ut för och så ska den informationen nå ledningen. Men i stället vrids den ofta till att bli en megafon för den globala hothajpen.

Fråga vad som är det vanligaste sättet för intrång som gör mest skada på deras företag – är det virus, social ingenjörskonst, lösenordsattacker, felaktig konfiguration, attacker, att man inte krypterar och så vidare? Det är sällan någon kan svara på det med data som backar upp deras påstående. Hur kan ett företag skydda sig på ett effektivt sätt om de inte kan avgöra vad som är de största hoten?

4. Regelverk som måste följas är inte alltid i linje med säkerheten

Om du snabbt vill få en säkerhetsåtgärd på plats – säg att den behövs för att ni ska kunna följa regelverket. Inget öppnar plånboken snabbare. Regelverk är något som ledningen är tvingad att ta hänsyn till.

Men tråkigt nog så går säkerhet och regelverk inte alltid hand i hand. Medan det amerikanska standardiseringsinstitutet NIST rekommenderar att man ska sluta tvinga användarna att byta lösenord hela tiden och att man heller inte ska tvinga dem att blanda in siffror och symboler så finns ändå regelverk som kräver just sådant.

5. Alltför många projekt smetar ut resurserna 

Ofta pågår ett dussintal säkerhetsprojekt parallellt på ett företag som alla är ämnade att säkra datorer och enheter. Kanske två eller tre av dessa på allvar skulle kunna minimera säkerhetsriskerna om de slutfördes. Att dela upp resurserna på många projekt innebär att de flesta av dem blir försenade eller dåligt implementerade även om de verkligen slutförs.

It-säkerhetsvärlden är fylld av dyr mjukvara som ligger på hyllorna och lovande projekt som ingen håller sin hand över.

Läs också: WEF: Cyberangrepp är ett av de största hoten mot samhället

6. Favoritprojekt är inte alltid de viktigaste

Kanske det allra värsta – många företag har ett eller två projekt som drivs av någon i ledningen som deras alldeles egna favorit. De har läst en bok, hört något på radio eller golfat med en kompis som berättat för dem som behövdes för deras företag.

Så utan att titta på de data som gäller för just deras eget företag, vilka hot som är störst just för dem, så rycker de till sig de bästa teammedlemmarna från andra projekt för att få sitt avklarat först  om det nu hinner bli klart innan de startar ett annat, nytt, favoritprojekt.

Det finns självklart fler exempel på varför det är svårt att fokusera på rätt säkerhetshot men det börjar med en lavin av nya hot varje dag och sedan tillkommer problem längs vägen. Men första steget för att lösa ett problem är att erkänna att man har ett problem. Så rådet från Roger A Grimes är att den som känner igen sig i något av exemplen ovan försöker få alla i teamet att förstå problemet och hjälpa till att sätta fokuset rätt.