My interviews show that the organisations did different types of economic assessments. In two of the four cases the economic judgement was based on the size of the investment cost. One of the organisations was influenced in their assessment from another organisation’s experiences in network security. The study shows that organisations prefer small investment costs within network security depending on the rapid progress of the IT-development. Doing many small network security investments instead of a few and expensive ones, can enable the company to adjust its network security products when new types of threats appear as viruses or force attacks. One organisation assessed their investments based on earlier experiences from another organisation. The other organisation described their own negative economic consequences. As a result, the probability of an attack was influenced by the so called availability bias.
Empirin från mina intervjuer visar att organisationer gör olika typer av ekonomiska bedömningar. I två av de fyra fallen bestod de ekonomiska bedömningarna av investeringsutgiftens storlek. En av organisationerna utgick ifrån tidigare organisationers erfarenheter inom nätverkssäkerhet. Min studie visar att organisationerna föredrar små investeringsutgifter inom nätverkssäkerhet som beror på den snabba IT-utvecklingen. Genom att göra många men små nätverkssäkerhetsinvesteringar, istället för få men dyra kan företagen anpassa sina nätverksäkerhetsprodukter när nya typer av hot dyker upp av som exempelvis virus eller intrångsattacker. En annan investeringsbedömning hos en organisation byggde på tidigare erfarenheter från en annan organisation. En anledning till varför beslutsunderlaget bestod av tidigare erfarenheter var att den andra organisationen hade redogjort vilka negativa ekonomiska konsekvenser som händelsen förde med sig. Det har fått till följd att beslutsfattaren trodde att sannolikheten att den egna organisationen ska bli drabbad är högre än det egentliga fallet