Una stima è una cifra calcolata in base alle prove disponibili, non un totale verificato da audit. Nella sicurezza informatica, le stime vengono usate quando difensori, analisti o investigatori non hanno visibilità completa e devono lavorare su log parziali, traffico campionato o report incompleti.
Le stime sono importanti perché guidano le decisioni sulla risposta agli incidenti, sulla prioritizzazione delle minacce e sulla gestione del rischio. Un team può stimare quanti sistemi sono stati esposti, quante informazioni potrebbero essere state accessibili o la probabile perdita finanziaria derivante da un'intrusione. Anche i ricercatori sulle minacce stimano la dimensione di una botnet, la portata di una campagna di phishing o la diffusione di un malware a partire da osservazioni limitate. Il limite principale è che una stima può essere utile anche senza essere esatta; va considerata provvisoria e verificata con log, audit e misurazioni indipendenti prima di essere usata come fatto.