Estos conceptos están estrechamente relacionados y muchas veces en complicado o confunso dividirlos cuando tenemos que realizar matrices de riesgos para ciertas normativas (e.g. PCI DSS o una ISO 27002, ISO 27001).
Riesgo
Se denomina riesgo a la posibilidad de que un sistema sufra un incidente de seguridad y que una amenaza se materialice causando una serie de daños.
El riesgo es la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad existente.
Vulnerabilidad
Una vulnerabilidad a una debilidad propia de un sistema que permite ser atacado y recibir un daño.
Una vulnerabilidad pone en riesgo los datos y sistemas de una empresa comprometiendo su integridad, privacidad y disponibilidad.
Amenzada
Una amenaza es la posibilidad de que un sistema vulnerable sea atacado y sufra daños.
Ejemplos:
- Código malicioso
- Robo de identidad
- Amenazas Persistentes Avanzadas
- Denegación de servicio
- Negligencia