В предельном случае информзащитника привлекают на самой ранней стадии – при обдумывании общей идеи ИС. Затем он работает над концепцией, эскизным проектом, проектом, техзаданием, спецификациями, планом тестирования и т.д. Причём работает не просто так, а с правом вето. Если всё сделано правильно, ИС получается защищённой by design, на поддержание безопасности тратится совсем немного или вообще ничего (т.е. остаточные риски принимаются).
В противоположном предельном случае систему делают и вводят в строй вообще без оглядки на вопросы безопасности. Потом начинаются проблемы. Потом зовут ИБшника, который чешет репу и заявляет, что "всю систему надо менять". Потом приглашают другого, более покладистого, он обвешивает всё заплатками, алертами, процедурами и сторожами. И за всей этой навесной защитой надо постоянно следить, примеряя к ней поступающие угрозы. Разработка стоила дёшево, зато содержание выливается в изрядные суммы.
Понятно, что ни в первом, ни в последнем варианте мы, безопасники не заинтересованы. Потому что не хотим остаться без работы и не хотим заниматься сизифовым трудом.
Поэтому если кто-нибудь когда-нибудь напишет ОС, где принципиально невозможны вирусы и трояны, труп этого гения вскоре выловят из местной речки, а его компьютер сгорит вместе с домом из-за короткого замыкания.
Идеальная процессорная архитектура и код с автоисправлением ошибок может породить только сам себя, как в трилогии "Терминатор". Но мы все встанем стеной на защиту человечества, ведь правда?