Risico (informatiebeveiliging)

Een risico is een bepaald gevaar dat de kwetsbaarheden van een activa of een groep activa uitbuit en dus de organisatie schade berokkent (bijvoorbeeld een virus dat een bestand wist). Het risico wordt bepaald door de waarschijnlijkheidsberekening van een gebeurtenis, te combineren met de gevolgen ervan.
Een risico wordt dus gekenmerkt door twee factoren: de waarschijnlijkheid dat zich een incident voordoet en de ernst van de potentiële rechtstreekse gevolgen en onrechtstreekse impact.
Het risico kan ook afhangen van een tijdsfactor: de situatie kan na een incident verergeren als er niet bijtijds bijsturingsmaatregelen worden genomen (bijvoorbeeld fout in de software die de databank aantast, spyware die paswoorden, versleutelde codes of pincodes binnenhaalt). Zo kan een op onschuldig incident catastrofale gevolgen hebben.