Nel 2018, la risposta dipende dai risultati dell'analisi delle minacce e dei rischi. Che, ovviamente, hai eseguito, identificato i probabili scenari, valutato e preso una decisione aziendale in base all'impatto e alla frequenza, secondo un metodo statistico o quantitativo adeguato.
Il tuo singolo dipendente, tuttavia, ha fatto la sua personale analisi dei rischi ed è arrivato al risultato che hai indicato, ovvero:
non può assumersi la responsabilità della sua identità di rete in tal caso
Ed è perfettamente corretto in quella valutazione. Anche uno sguardo superficiale alla situazione rende chiaro che qualcuno diverso da lui, con competenze tecniche minime, potrebbe impersonarlo.
Per te il rischio aziendale è accettabile (ovviamente, io significa che è il 2018, che la rete interna non è crittografata è una decisione intenzionale e non, diciamo, un caso in cui l'abbiamo sempre fatto così, giusto?) e potresti avere ragione in quella decisione. Accettare un rischio è un'opzione perfettamente valida.
Per lui il rischio non è accettabile. Si noti che non prende una decisione commerciale per l'azienda con la sua dichiarazione. Prende una decisione personale per se stesso. Questo è il motivo per cui le due analisi del rischio possono portare a risultati diversi: contesto, propensione al rischio, impatti diversi.
La risposta corretta è che ti stai assumendo la responsabilità che lui rifiuta di assumersi. Eseguendo la rete in chiaro e accettando il rischio, l'azienda si assume la responsabilità dell'identità di rete degli utenti di quella rete, poiché ha deciso di non proteggerli.
Potrei anche sbagliarmi nelle mie ipotesi sulla gestione del rischio aziendale, nel qual caso consiglio di fare un'analisi del rischio di questo particolare fatto (rete interna non crittografata) e della minaccia (rappresentazione degli utenti) in modo da poter rivedere la decisione di avere una rete non crittografata o consolidarla con risultati che dimostrano che la protezione della rete sarebbe più costosa della perdita prevista.