正直なところ構成員が多い組織だとどこかでマルウェアにやられるのは、普通に交通事故に遭うのと同じレベルで起こりうる話だと今は思ってる。
なので発生確率を下げることとと発生時の被害を極小化する(つまりリスクコントロールすること)のが重要なのだと思っています。

一応ITセキュリティでも飯を食っている身としてそう思っている。