这是一个很好的问题，这个精确问题的答案——“我应该告诉 X Y不安全吗”几乎总是“不”。最好不要在真空中向上级陈述——提供上下文和解释。

老板需要可操作的信息和框架来做出决定。没有以该特定语言选择传达可操作的信息，也没有提出任何决定。此外，术语“安全”和“不安全”实际上只对安全工程师有用，他们明白没有什么是真正安全的，而且大多数不安全的东西可能仍然很少受到损害，因为有这样的那里有很多不安全的东西。

解决此类问题的更好方法是研究其影响并将游戏状态传达为可以做出的决定。这里的决定是是否投资改变到另一个协议，也许通过改变 IT 供应商。

一种有用但并非唯一的方式来制定安全投资决策是在一种保险形式上的美元支出。还有许多其他考虑领域，特别是在安全监管和合规性、无法以美元表示的客户信任问题等方面。但是就像投资回报率是一种有用的通用语言来看待企业的投资和增长方面一样，保险成本也是看待企业风险方面的有用方式。

在这里，一方面，人们想查看升级或过渡的美元成本和时间，以及对工作流程的影响。

另一方面，人们想要估计违规的成本。基本过程是识别违规的潜在结果，估计处理它们的成本范围，并估计它们在特定时间范围内发生的可能性。

这可能看起来很多，但你想要的只是一个非常非常粗略的潜在不良案例场景，对于一家拥有少量资产/客户/影响的小公司来说，应该能够做到这一点。迅速地。您真正需要确定的是，您谈论的预期损失是 1,000 美元、10,000 美元、100,000 美元还是 1,000,000 美元。

升级成本是针对潜在损失的保险。老板将能够决定是否购买该保险。如果他们这样做，那就太好了。如果他们不这样做，那也没关系。如果经过这个过程，你意识到某些成本或风险被低估了，俗话说，欢迎加入俱乐部！继续对话。老板会很感激的。

祝你好运。

我认为从威胁的角度来思考是很重要的，我鼓励你或许回拨一些你的担忧。安全性不是是不是，它通常是关于“足够安全”。我们常常试图消除系统中的所有缺陷，而不是试图找到“足够好”的解决方案。从您所说的来看，您当前的解决方案“足够好”。

是的，PPTP 可能不是目前最安全的 VPN 技术。但重要的是要考虑您要防御什么威胁，以及您要保护什么。利用 VPN 漏洞意味着攻击者必须位于隧道的两个端点之间。这意味着攻击者要么必须关闭端点（咖啡店、你的房子等），要么进行某种形式的复杂攻击来引导流量通过它们。前者的威胁范围和持续时间有限，而后者只有强大的对手才能实现。

您还说没有人可能破解 VPN 协议，因为您没有任何有价值的东西值得窃取。所有这些都表明建议您对安全问题少说或不说，因为这听起来在很大程度上是无关紧要的。

更多的问题可能是，如果您使用的 IT 提供商仍在使用这种不安全的技术，他们听起来并不是特别精通技术。我会将其存储在您自己大脑中的某个地方以供将来参考。值得一提的是，如果您选择了不同的公司。