Una vulnerabilidad es una debilidad en un mecanismo que compromete directamente la confidencialidad, integridad o disponibilidad del activo al que se le atribuye. Una vulnerabilidad puede ser identificada dentro de un programa, un equipo o incluso en procedimientos que pueden ofrecer al atacante una puerta abierta. Las vulnerabilidades se caracterizan por la ausencia o debilidad de una medida que puede ser explotada. Ejemplos de vulnerabilidades son: servicios mal configurados en un equipo, accesos sin restringir en modems, puertos abiertos en el firewall, candados viejos que pueden ser forzados fácilmente y permitir la entrada a una oficina, contraseñas fáciles de adivinar en servidores de producción, etc.

El peligro (threat) es un daño potencial a un activo que pudiera atacar mediante un agente. Un peligro es algo o alguien identificado directamente con una vulnerabilidad. La identidad que toma ventaja sobre este peligro es identificado como agente. La definición de un agente siempre debe estar acompañada con un peligro y viceversa. Ejemplos de estos son: la entrada de un atacante al servidor de correo mediante la explotación de una vulnerabilidad específica de sendmail, el robo hormiga por parte de los empleados a las cuentas de los tarjeta-habientes, acceso sin control a sistemas, centralización de datos, mal uso de datos de usuarios autorizados, entradas falsificadas, centralización de responsabilidades, falta de control de cambios, mal uso de las tecnologías inalámbricas, uso de software sin licencias y fallas de hardware.

El riesgo está definido como la probabilidad de que un agente encuentre y tome ventaja de una vulnerabilidad. El riesgo está determinado en probabilidades o posibilidades de que los peligros se materialicen. Ejemplos de esto son: existe 100% de riesgo que una cuenta de correo electrónico con más de 1 año de existencia sea sujeta de envío de spam y virii, 50% de probabilidad de que el usuario smith encuentre que puede obtener los números de tarjetas del sistema sin identificarse.

La exposición se define como el encaro del activo a perdidas por parte de un agente. La exposición mide la cantidad relativa del activo a una vulnerabilidad en caso de que el riesgo se materialice. Ejemplos de exposiciones pueden ser: su una contraseña de administrador de correo electrónico es descubierta, el 100% de las cuentas de correo pueden ser obtenidas y publicadas, el 70% de las tarjetas de crédito pueden ser descifradas si la llave AXY es descubierta.

La combinación de todos estos conceptos puede ser algo devastador. Sin embargo para poder evitarlos o minimizarlos (en posibilidad o impacto) existen las contra medidas (countermeasure). Una contra medida es el control seleccionado que elimina o reduce la vulnerabilidad, reduce la probabilidad de ocurrencia de un riesgo, restringe el acceso a un agente, reduce la exposición de un activo o elimina el peligro latente.