Tras identificar todos los activos de información que componen la empresa como software, hardware, vías de comunicación, documentación digital, etc, deben definirse las amenazas a las que pueden estar expuestos. Estas amenazas pueden ser de diferente índole:
Ataques externos
Dos de las mayores amenazas que reciben las empresas hoy en día son ataques de denegación de servicio DDoS (inutilizan los sistemas informáticos de la empresa) o ataques con malware de tipo ransomware (encriptan los datos de la empresa, solicitando un rescate económico en criptomonedas para liberarlos).
Errores humanos
La intervención humana en los procesos informáticos siempre está expuesta a que se cometan errores (intencionados o no intencionados).
Desastres naturales
Es posible que se den situaciones que pongan en peligro los activos informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica.
Situaciones extraordinarias, como la pandemia del COVID-19
Las crisis a menudo reducen los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación operando bajo esquemas maliciosos. Por ejemplo, las campañas de phishing relacionadas con el COVID-19, en las que los cibercriminales se hacen pasar, por ejemplo, por organizaciones de salud acreditadas están en aumento.