Valutare la sicurezza significa stabilire un insieme di indici numerici in grado di ottenere una stima quantitativa del ritorno dell'investimento destinato a rafforzare le misure di sicurezza. Stabilire tali indici è molto complesso e vengono impiegato diversi parametri.

In generale, si parla di ROI come Return Of Investment ovvero ritorno dell'investimento e si usa la formula generale ROI = risultato economico / capitale investito.

Il ROIS riguarda nello specifico il calcolo del ritorno dell'investimento in sicurezza informatica. Alcuni indicatori numerici sono:

Asset Value (AV):  valore del bene da proteggere tramite l'apparato di sicurezza

Vulnerabilità (V):  una debolezza dell’apparato che può essere sfruttata da una minaccia per arrecare danni

Minaccia (M): evento in grado di sfruttare la vulnerabilità dell’oggetto

Exposure Factor (EF): valore percentuale di perdita dovuta al singolo evento dannoso

Single Loss Expectancy (SLE): perdita dovuta al singolo evento di minaccia pari a SLE = AV * EF

Annualized Rate of Occurrence (ARO): numero di eventi dannosi attesi in 12 mesi

Annualized Loss Expectancy (ALE): perdita attesa in 12 mesi pari a ALE = SLE * ARO