Informatiebeveiliging is belangrijk, maar hoeveel moet je nu uitgeven om je informatie te beschermen? Vaak wordt gezegd zo'n tien tot twintig procent van het budget en hoe moet een organisatie verder ingericht worden? Volgens beveiligingsexpert Richard Bejtlich is er geen generieke graadmeter voor het bepalen van een budget. "Bij het bepalen van de uitgaven voor digitale beveiliging als onderdeel van een IT budget, heb je met een interessant vraagstuk te maken. Eerst moet je accepteren dat de waarde van de informatie van de organisatie de bovengrens van elke security uitgave is." Het komt er dus op neer dat je niet meer uitgeeft dan de informatie waard is.

Om te bepalen hoeveel je moet uitgeven, baseert Bejtlich zich op drie punten. Als eerste moet men zich richten op de output, niet de input. "Het maakt niet uit hoeveel je besteedt aan beveiliging (input) als de organisatie vreselijk gecompromitteerd is (output). Het bepalen van hoe erg de onderneming gecompromitteerd is, heeft dan de hoogste prioriteit. Ten tweede stelt Bejtlich dat security een IT-probleem is, geen 'security' probleem. "Hoe sneller de eigenaren van de informatie dit beseffen en verantwoordelijk voor de beveiliging van hun systemen worden gehouden, er minder incidenten plaatsvinden en hoe groter de kans dat de informatie digitale aardbevingen overleeft."

Potemkin-dorp
IT-beveiligers zijn vaak niet de eigenaar van de informatie die ze moeten beschermen. Het zijn echter de eigenaren die verantwoordelijk horen te zijn, omdat die de belangrijke beslissingen maken over de waarde en kwetsbaarheden van hun middelen. In dit geval moet een beveiliger de eigenaar van de middelen een scenario schetsen, waarbij een aanvaller middelen A, B en C in handen heeft en direct kan uitschakelen. De eigenaar moet vervolgens aangeven wat de impact is. "Als ze zeggen dat er geen impact is, dan moet je melden dat dit middel waardeloos is en meteen moet worden uitgefaseerd. Dat zal waarschijnlijk wel de aandacht trekken en voor een echt gesprek zorgen."

Het derde punt is dat de beveiliger aan iedereen die wil luisteren moet vertellen wat er nodig is om zijn werk uit te voeren, en wat er verloren gaat als dit niet mogelijk is. De eigenaren van de middelen hebben in dit geval een "perverse prikkel", omdat hoe minder ze het security-team de status van hun middelen laten observeren, des te minder het security-team de beveiliging van de onderneming in kaart kan brengen. "Je moet bondgenoten vinden die meer geïnteresseerd zijn in het spreken van de waarheid, dan het leven in Potemkin-dorpen."