O investimento em segurança tem como função principal reduzir a exposição das organizações aos riscos que os seus sistemas e tecnologias de informação e comunicação estão sujeitos. Evitar um incidente de segurança é muito mais barato do que enfrentar os custos derivados desse incidente, já que os impactos provocados por um incidente de segurança podem ser devastadores para a organização. Este artigo tem como objectivo conhecer o nível do orçamento afecto à segurança da informação nas organizações, a forma como esse investimento é percepcionado pelos gestores e se o investimento é objecto de algum tipo de avaliação e que métricas são utilizadas nessa avaliação. Esta investigação foi realizada com base num inquérito junto de 5000 empresas, tendo sido recolhidos 156 respostas válidas para análise. Os testes das hipóteses da investigação foram efectuados com base nos testes de independência do Qui- Quadrado e Kolmogorov-Smirnov. Os resultados mostram que as despesas com a segurança da informação são consideradas como custos operacionais e não como investimento, que uma pequena parte do orçamento dos sistemas e tecnologias de informação e comunicação é afecto à segurança da informação e que o investimento em segurança da informação não é função do número de incidentes de segurança sofridos pelas organizações. Concluiu-se, ainda, que os gestores reconhecem a necessidade de estimar os benefícios resultantes deste tipo de investimento e que a sua realização deve ser justificada em termos económicos, sendo o ROI a métrica mais utilizada.