با افزایش تهدیدات امنیتی، سازمان ها شروع به سرمایه گذاری در زمینه امنیت اطلاعات کردند. سازمان ها منابع محدودی برای سرمایه گذاری در امنیت اطلاعات دارند در نتیجه باید به آنها کمک کرد تا برای تخصیص منابع، درست تصمیم گیری کنند. اولین گام در رویکرد پژوهش تعریف مسأله است که مسأله این پژوهش این است که چرا سازمان ها با وجود سرمایه گذاری در زمینه امنیت اطلاعات به اهداف خود که همان برقراری سطح مطلوب امنیت اطلاعات در سازمان است دست پیدا نمی کنند. مسأله پژوهش منجر به مروری بر ادبیات مرتبط به امنیت اطلاعات می شود، بر اساس مطالعه پژوهش های انجام شده در این زمینه، پرسش اصلی پژوهش شکل می گیرد: "روش مناسب ارزیابی اقتصادی پیاده سازی امنیت اطلاعات چیست؟" برای پاسخگویی به این پرسش، متدی برای این ارزیابی در نظر گرفته شده است که شامل چند مرحله است: ارزیابی ریسک اولیه قبل از سرمایه گذاری، برآورد هزینه هر راه حل، ارزیابی سود هر راه حل و در نهایت هم ارزیابی اقتصادی انجام می شود و با توجه به نتایج به دست آمده، راه حل بهینه و یا ترکیبی از راه حل ها انتخاب می گردد. پژوهش دارای دو جامعه آماری است یکی برای خبرگان و دیگری برای سازمانی که مطالعه موردی در آن انجام خواهد شد. در رابطه با جامعه اول باید از خبرگانی کمک گرفت که در زمینه فناوری اطلاعات صاحب نظر هستند و برای جامعه دوم باید تمامی کارکنان بخش امنیت اطلاعات سازمان مورد نظر را در نظر گرفت. برای جامعه اول باید به طور گلوله برفی خبرگان را انتخاب کرد که در این پژوهش اندازه نمونه 15 نفراست. در رابطه با نمونه دوم، پرسشنامه ها به سه سازمان تحویل داده شده است که در نهایت از سه سازمان 32 پرسشنامه جمع آوری شد. برای آزمون پایایی این متد از خبرگان این حوزه نظرخواهی شده است و در پایان هم روش معرفی شده به صورت مطالعه میدانی در سه سازمان بورس، شرکت بورس کالا و مدیریت فناوری بورس اجرایی شده است. - بر اساس این متد می توان آنالیز دقیق و جامعی از گزینه های مختلف سرمایه گذاری و همچنین ارزیابی های کمی را انجام داد که منجر به ارائه پیشنهادهایی می گردد که فرایند تصمیم گیری و انتخاب بهترین سرمایه گذاری را تسهیل می کند. - همچنین ارزیابی های کمی ریسک، امکان بررسی دقیقی از تهدیدات موجود را فراهم می آورد. در پایان پژوهش هم، بر اساس یافته های پایان نامه، پیشنهادهایی ذکر شده است: - مدیریت کسب وکار باید در حوزه ی امنیت اطلاعات مشارکت داشته باشد، امنیت اطلاعات نباید تنها به عنوان یک موضوع فنی و در حوزه ی فناوری اطلاعات تلقی شود. - برای انجام آنالیز اقتصادی روی امنیت اطلاعات وقت کافی اختصاص داده شود.