www.isaca.org

上記の記事で「組織、もしくは企業には有限のリソースがあるため、サイバーリスクを理解、評価、および定量化（物事を数値で表わす）する必要」と書かれているがまったくその通りだと考える。多くのサイバー攻撃（犯罪）は予測可能することが可能だが、組織、もしくは企業への影響の重大度は推定することしかできない。リスクの特定、定量化は、リスク管理において重要である。