Het is vaak niet eenvoudig de kosten die verbonden zijn aan beveiligingsrisicobeheer te kwantificeren. Hoe berekenen we de waarde van verloren goodwill in het geval van een grote denial- of service-aanval,waardoor klanten hun account niet meer kunnen raadplegen? Hoe berekenen we de kosten van datacorruptie? Hoe meten we in hoeverre de integriteit van gegevens is aangetast ten gevolge van een kwaadwillige aanval op ons netwerk? En wat zijn daar de kosten van?