Всё зависит от того что собираетесь защищать. Стоимость защиты не может превышать стоимоть информации.

Не один грамотный руководитель не даст добро на установку защиты ценою в 10 раз превышающую стоимость информации. Это экономически не выгодно. Нет никаких гарантий что информация вырастет в цене.

полностью согласен с SOLDIER'ом. Если даже на Ваш взгляд информация не кому не нужна, всё равно найдётся человек которому было бы интересно поглядеть "закулисы". Отдельное внимание стоит уделить обучению персонала т.к часто работают люди совершенно не знающие об основах бесопасности информационных технологий. Даже если Вы понакупите самые современные программно/аппаратные средства защиты, какая нибудь секретарша может выдать все секреты за мгновение. Ну и есстественно следить за этим т.к многие думают, что потратив деньги проблема исчезает.
Зы: Есстесвенно, то что я написал - капля в море по сравнению с тем, какую работу необходмо проделать.

вообще говоря так сходу сказать нельзя. если вы обратитесь в любую более менее серьезную организацию с таким вопросом, то это будет целый проект-консультация по аудиту существующих систем защиты и идущих процессов и по результатам выдача документа в какие продукты и решения по безопасности эффективнее всего вкладывать средства. можно конечно взять и защититься сразу от всех видов угроз, но это может быть неэффективно и точно не ответит на ваш вопрос.

например: что эффективнее в вашей организации?
- научить пользователей пользоваться паролями
- завести систему анализа поведения несмышленых пользователей
это можете решить либо только вы, либо человек, который знаком с текущей ситуацией.