«Väga lihtsalt on võimalik teha liiga vähe, kuid tihti on võimalik minna ka veidi üle võlli.»
Niisamuti peab pädev riskihinnang olema võimeline ajas muutuma ning võtma arvesse nii muutunud turvakeskkonda kui ka alaliselt muutuvat töökeskkonda. Kui mingitel hetkedel võis riskianalüüs kätte näidata, andmebaas X tuleb paigutada pimedas toas olevasse arvutisse, mis ei olnud internetiga ühendatud, siis kaugtöö võidukäik võib selle lähenemise võimatuks muuta.
Täpselt samamoodi peab riskihinnang ajas muutuma, kui muutub seda ümbritsev turvakeskkond – kolm aastat tagasi pahalasi mingit tüüpi süsteemid ei huvitanud ja seega ei panustatud nende kaitsesse liialt ressursse, kuid täna võib olukord olla vastupidine ja kaitsemeetmeid tuleb tugevdada.
Kõige juures tasub aga meeles pidada, et väga lihtsalt on võimalik teha liiga vähe, kuid tihti on võimalik minna ka veidi üle võlli. Seetõttu peab iga riskihinnangu osaks olema ka õige tasakaalu leidmine mugavuse ja turvalisuse vahel.
Seega peaks riskihinnangu läbivaks küsimuseks olema see, miks me midagi teeme või tegemata jätame. Olgu selleks andmete krüptimine, pilves või serveriruumis hoidmine, ligipääsude jagamine või töötajate koolitamine – turvalahenduse looja peab suutma selgitada, miks just sedasi asju kõige parem teha on. Või hoopis vastupidi – miks pole mõtet töötajate elu keerulisemaks muuta, kui selle tegevuse tulemusena ei vähene ükski reaalne risk.
Eelneva kõrval ei tasu ka ära unustada, et kõiki turvalisuse huvides vastu võetud otsuseid peavad toetama ka õiged protsessid. Ei ole mõtet andmeid taastatavuse ja töökindluse huvides pilves hoida, kui reaalsuses pole keegi välja mõelnud, kuidas sellega seotud ligipääse hallata või kuidas on lahendatud andmete turvaline liigutamine.