El documento define el riesgo informático como la probabilidad de que una amenaza utilice una vulnerabilidad y cause pérdidas o daños a un activo o grupo de activos. Explica que el riesgo implica elementos como la probabilidad de que ocurra una amenaza y las propias amenazas, como circunstancias no informáticas imprevisibles que pueden afectar los datos a pesar de la seguridad de los dispositivos de almacenamiento.