Depende de quién está haciendo la estimación.
Si usted es el productor de software, el costo es el costo para corregir la vulnerabilidad. Si se está esforzando por una práctica madura de administración de riesgos, agregue el costo de la pérdida de negocios si la vulnerabilidad dañará sus ventas. Ignore los costos en el siguiente párrafo a menos que exista algún seguro o régimen regulatorio que le asigne esos costos.
Si usted es el consumidor, entonces un impacto de probabilidad x simplista estándar puede ser adecuado (aunque sea grosero y poco elegante, pero adecuado). Determine el costo de la infracción: qué pasaría si la vulnerabilidad fuera explotada por el adversario (esto será un rango, dependiendo del caso más desfavorable y el caso más probable). Luego, la probabilidad de que el adversario sea capaz de aprovechar la vulnerabilidad. Por ejemplo, incluso la peor vulnerabilidad tiene un impacto limitado si solo se produce en un servidor con espacio de aire. Multiplique el valor en dólares x la probabilidad para calcular un rango de exposición al riesgo.
Si te estás esforzando por una práctica madura de gestión de riesgos, deberías tener (o estar recolectando activamente) datos para respaldar el análisis en el párrafo anterior.
Si estás en la comunidad de salud o seguridad, ya deberías tener métodos establecidos para calcular esto.