Creo que para responder a esta pregunta, debe tener una comprensión sólida del valor de los activos que está tratando de proteger. Si consideramos que la seguridad de la información proporciona confidencialidad, integridad y disponibilidad (CIA), también podemos tratar de determinar el costo para la organización si estas garantías se ven afectadas.
C: Dado el valor de alguna información de propiedad exclusiva, utilícela para estimar el costo si se divulgan estos datos.
I: Dado el valor de algunos datos operativos, utilícelo para estimar la pérdida potencial o la interrupción de las operaciones si estos datos se modifican de forma maliciosa (o accidental) sin detección durante algún tiempo.
A: Dados los ingresos generados por un servicio (por ejemplo, el sitio web de comercio electrónico) o la productividad habilitada por un sistema (por ejemplo, el sistema de correo electrónico interno), utilícelo para estimar qué pérdida financiera ocurriría si el servicio o el sistema se desactiva durante un período de tiempo determinado. Es útil si tiene una idea de cuánto tiempo es probable que dure la interrupción del servicio antes de ser identificada y corregida.
Como han mencionado otros, recomendaría involucrar a los propietarios de datos y servicios en su negocio para ayudar a calcular las mejores estimaciones de valor. Sus resultados no solo serán más precisos y tendrán más significado, sino que también aumentarán la aceptación de la administración en el proceso.