De manera informal, se habla de que una organización está expuesta a un cierto riesgo cuando existe una determinada probabilidad de que su información, su conocimiento y su negocio (sus activos lógicos, en definitiva) puedan ser afectados por agresiones o ataques.

Las amenazas que exponen a una organización a estos riesgos provienen de fuentes variadas y en ocasiones insospechadas:

• Competencia (directa o indirectamente a través de terceros).
• Empleados (ya sea por negligencia o de forma malintencionada)
• Clientes descontentos (directa o indirectamente a través de terceros).
• Espías independientes, crackers (chantaje, venta al mejor postor, etc)
• Hackers (con el fin de probar sus habilidades, tomar la infraestructura informática de la organización como base para otros ataques o como almacén de software, ataques masivos sin ningún objetivo en particular, etc)
• Software dañino (virus, troyanos)
• Desastres naturales o energéticos (tormenta eléctrica, corte de energía eléctrica, inundaciones, fallo de refrigeración, etc).