Il pericolo connesso a un approccio di questo tipo – particolarmente comune specie nell’ambito di imprese e organizzazioni poco strutturate o di piccole dimensioni – è essenzialmente quello di ignorare i rapidissimi mutamenti nelle minacce e nelle tecniche di attacco, così depotenziando i presidi di sicurezza posti implementati ed esponendo dati e informazioni a rischi non correttamente gestiti.
L’approccio alla sicurezza informatica e delle informazioni è, in realtà, un processo del tutto dinamico, che deve pertanto avere come stella polare l’obiettivo del miglioramento continuo del sistema, efficacemente sintetizzato nel concetto di ciclo PDCA o Plan-Do-Check-Act.

Il ciclo Plan-Do-Check-Act – applicabile non solo ai presidi e ai processi connessi alla sicurezza informativa, ma a qualsiasi processo aziendale – può essere così descritto:

Particolare rilevanza assumono, pertanto, le fasi di verifica e di intervento.
In particolare, le attività di verifica andrebbe definite già in fase di pianificazione, per determinarne tempistiche e modalità – ad esempio, prevedendo controlli periodici volti a verificare la costante aderenza delle misure di sicurezza adottate rispetto al livello di rischio definito. Le attività di verifica, in particolare, possono assumere forme e modalità molto diverse tra di loro, anche se normalmente in contesti più strutturati le verifiche avvengono attraverso sessioni di ispezioni e audit, sia interni che condotti da consulenti esterni (cd. audit di seconda parte) o da enti di certificazione (cd. audit di terza parte, effettuati ad esempio dall’ente di certificazione ISO 27001).

La fase di intervento, volta a “sanare” le carenze e le non conformità riscontrate. sarà così tanto più efficace quanto più frequenti e dettagliati sono i momenti di verifica.