Sicherheit kostet Geld – allerdings ist Sicherheit nur dann notwendig, wenn es etwas zu schützen gibt. Sicherheitskosten sind – so gesehen  – immer Teil der "Betriebskosten" einer wertschöpfenden Tätigkeit. Sicherheit als Teil der IT-Infrastruktur zu betrachten, macht es einfach, legt aber die Kosten auf alle Tätigkeiten im Unternehmen um. Knapp ein Viertel der IT-Ausgaben sind dann für Cybersicherheit einzuplanen. Dies zeigt auch, dass IT-Dienstleistungen nicht automatisch Cybersicherheit abdecken – dafür sind die zusätzlichen Kosten zu hoch.

Nicht jede Cybersicherheits-Maßnahme ist zudem für jedes Unternehmen die richtige  – je besser eine Maßnahme zur Wertschöpfung einer Organisation passt, desto stärker kann sie ihre Wirkung entfalten; umgekehrt kann man von Maßnahmen keinen Sicherheitsgewinn erwarten, wenn sie Wertschöpfung oder Kultur im Unternehmen entgegenlaufen. Wenn ein Betrieb etwa mit Dienstleistungen am Kunden Geld verdient, dann sind Sicherheitsmaßnahmen, die den Kontakt zu Kunden erschweren (etwa durch zusätzliche Authentifizierungsmaßnahmen), dem Unternehmenserfolg nicht zuträglich und werden meist abgelehnt beziehungsweise umgangen.

Es gilt daher folgende Faustregel: Wenn Sicherheitsmaßnahmen sowieso als Teil eines (eventuell neuen) Geschäftsprozesses umgesetzt würden, dann passen sie gut zum Unternehmen und werden ihre Wirkung entfalten können. Nicht sehr sinnvoll sind generische Sicherheitsmaßnahmen, die jedem empfohlen werden oder die aus technischen Gründen heraus ausgewählt werden.