Esta pergunta que depende de múltiplas variáveis. Uma destas variáveis é o porte da empresa.
Grosseiramente, apresentamos a seguir:
A- porte da empresa, (risco médio em que incorre, orçamento do que deveria investir em segurança),
1- objetivo principal das ações de segurança e
• procedimentos principais envolvidos:

A- Indivíduo e Pequena empresa (até 15 PCs) (Risco anual: de R$5.000 até R$100.000, investimento anual: de R$1.000,00 até R$10.000,00)
1- Proteger os dados confidenciais:
Ter anti-virus e anti-spyware ativos e atualizados
Criptografar PCs que contenham arquivos confidenciais
Difundir e implantar procedimentos cautelosos ao navegar na Internet e ao utilizar senhas
2-Manter funcionando o equipamento e os sistemas
Fazer backups regulares
Ter nobreaks
B-Média empresa; (de 16 até 150 PCs) (Risco anual: de R$101.000 até R$4.900.000, investimento anual: de R$11.000,00 até R$500.000,00)
1- Proteger os dados confidenciais:
Aperfeiçoar a política de Segurança especialmente c/relação às responsabilidades das pessoas envolvidas.
2- Manter funcionando o equipamento e os sistemas
Manter controle do inventário de TI
Ter recuperação de desastre (confiabilidade até 95%)
Ter ou contratar helpdesk
Ter infra-estrutura redundante (nobreaks, gerador, etc..)
3- Controlar a utilização dos dados confidenciais, das informações e dos equipamentos para que as políticas internas de TI sejam cumpridas.
C- Grande empresa; (mais de 151 PCs) (Risco anual: de R$5.000.000 até R$1.000.000.000, investimento anual: de R$501.000,00 até R$10.000.000,00)
1- Proteger os dados confidenciais:
Aperfeiçoar a política de Segurança especialmente c/relação às informações de terceiros e capital intelectual.
2- Manter funcionando o equipamento e os sistemas
Ter sistemas e dados duplicados (confiabilidade entre 95% e 99%)
3- Controlar a utilização dos dados confidenciais, das informações e dos equipamentos para que as políticas internas de TI sejam cumpridas.
Auditar o cumprimento das políticas e de SLAs.
4-Otimizar o desempenho dos recursos de TI disponíveis lhes dando confiabilidade no apoio aos processos da empresa, ao antecipar gargalos no planejamento de capacidade.
5- Preparar e testar procedimentos de segurança, recuperação e continuidade dos serviços de TI.- Planos de Contingência e Continuidade – para minimizar as inevitáveis perdas decorrentes de vulnerabilidades remanescentes (cerca de 1%) muito custosas p/evitar.

Outras variáveis são:
Ambiente e instituições legais e judiciárias.
Aqui se incluem normas que devam ser obedecidas (incluindo documentação), as leis aplicáveis e os efetivos procedimentos associados.
Segurança eletrônica de sistemas de pagamento.
Se incluem padrões de negócio que devam ser obedecidos e procedimentos relativos (referentes a vários aspectos, incluindo rastrabilidade).
Desafios de prevenção e de supervisão.
Relativos, mas não se limitando a robustez da infra-estrutura de energia, comunicações, operações, logística.
O papel do seguro como mecanismo de monitoração complementar.
Também não se limitando a redução da vulnerabilidade através da securitização de riscos.
Papeis dos setores públicos e privados em padrões e certificações.
Especificação, obtenção e manutenção de certificações relativas à segurança de TI, também como mecanismo de atualização profissional da equipe responsável.
Cooperação público-privada em incidentes sobre segurança digital e acuracidade das informações.
Também como uma forma de se antecipar a incidentes plausíveis.
Educação e prevenção sobre incidentes de segurança digital.
Uma das formas de enrijecer o espírito de equipe da empresa relativo à segurança digital.

Estas outras variáveis fazem com que o mesmo tamanho de empresa, no mesmo ramo e com o mesmo faturamento incorram em vulnerabilidades diferentes em regiões e países diferentes.
Elas também fazem parte do “risco ou custo” Brasil: são ajustes que precisam ser feitos para compensar níveis externos em investimentos em educação, infra-estrutura e a forma como a lei é aplicada.

O nível de investimentos em segurança digital não é uma “ciência”, mas o resultado dinâmico de uma gestão sensível às variáveis mencionadas do ambiente onde atua a empresa. O que sugere que a empresa tenha consultoria/auditorias especializadas periódicas e/ou uma gestão dedicada ao assunto.