现在，我们通常通过将发生概率乘以预期损害来衡量此类问题，但在这种情况下，我们试图将趋于零的数字乘以趋于无穷大的数字并得出有凝聚力的答案是失败的。

不幸的是，在这种情况下，这是您需要做的。但我不相信这个计算真的像你想象的那么难。

可以通过首先估计有多少公司面临相同的安全威胁并且没有采取必要的预防措施来估计风险。然后，您浏览新闻报道以检查每年有多少公司受到影响（加上有根据的猜测，其中有多少公司设法阻止了这一混乱局面的公开）。将第二个数字除以第一个数字，您就有一个风险百分比。

你的伤害不会趋向于无穷大。最接近“无限损害”的事件将是宇宙整个时间/空间连续体的崩溃（如果你感到无聊，甚至可以用费米估计以美元为单位量化损害）对天体物理学感兴趣）。实际上，您可能造成的最大损害是使您的公司破产。如果您还考虑对他人造成的损害，也许您可​​能会造成更大的损害。但是，当您的公司破产时，它无法支付这些债务。因此，您可以将公司的净资产作为您预期损失的上限。

警告这种反应来自理论，而不是经验。

1. 不良事件对他人的影响是否存在伦理后果？它会伤害你的用户吗？还要考虑公司的员工，如果公司被攻击毁了，他们可能会受到伤害。如果是这样，您可能会觉得您有减轻的道德义务。

2. 如果您确实减轻了攻击，您的公司可以将此作为卖点或竞争优势吗？

3. 如果损害会损害贵公司的声誉，则保险可能无效；保险并不能真正帮助您从中恢复。这取决于损坏的形式，也许保险是一个不错的选择。

4. 除低风险问题外，最大化预期货币结果不一定是做出决策的好方法。假设你有 99% 的几率让公司破产，但有 1% 的几率将其净资产乘以 200。“在预期中”你会使公司的价值翻倍，但你几乎肯定会失业。

5. 可以考虑公司的长期生存等目标，而不是期望值。例如，在两个选项下（减轻或不减轻），您希望公司存在多长时间？(a) 如果公司正在苦苦挣扎，增加 8% 的预算很可能会破产，那么你别无选择，只能忽略这个问题，希望你能走运。如果它在这个时期幸存下来并蓬勃发展，你就可以在那个时候投资。(b) 如果公司表现良好，那么它似乎有能力安全行事。(c) 如果在中间的某个地方，从这个角度做出决定就会变得困难。

6. 高层似乎不太可能希望在没有他们的投入或控制的情况下做出这样的决定……

您应该考虑到您的团队知道这种攻击媒介这一事实。

如果仅仅了解漏洞就可以更容易地执行攻击，那么您可能会遇到比您想象的更大的问题。（例如，您的团队已知的难以找到的后门。）

如果是这样的话，你自己的队员在担心的对手名单中排名靠前，被攻击的概率可能比你的队员不知道的情况下要高得多。

员工可以而且经常会变得心怀不满。考虑到这一点。

您将获得可以涵盖该风险的保险。由于它的概率非常低，很难为您评估，因此您不要创建个人保险，而是尝试将其纳入涵盖更多普通风险的保险。基本上，您检查您已经拥有或可能需要的保险最有可能涵盖它，如果没有，请尝试谈判一项额外的交易，以使其涵盖。

保险是将较低的综合风险（事件概率乘以减轻事件的货币成本）转换为较高的综合风险（概率为保险货币成本的 1 倍），同时将较高的操作风险（事件概率乘以最终损害赔偿业务发生的后果）转化为较低的后果（保险的货币成本）。

仅当没有减轻的损害高于减轻的成本时，即当没有减轻的损害将严重危及持续业务时，这对保险卖方和买方才有意义。