Риск – это возможность того, что при каком-либо действии или бездействии складывается неблагоприятная ситуация, результатом которой являются потери. Следует предвидеть риски и пытаться смягчить их влияние. О необходимость учета риска можно судить после соответствующего анализа. В отношении каждого риска можно определять его вероятность (низкую, среднюю, высокую) и каким является результат материализации риска (незначительный, терпимый, серьезный, катастрофический).
Работа каждой системы (в том числе, системы программного обеспечения) сопровождается рисками. Современные системы программного обеспечения сохраняют и обрабатывают различные данные (медицинские, личную информацию, военные данные и также секретную информацию). Эти данные представляют интерес для организованной преступности, террористов и тому подобное. Данные находятся под ежедневным риском от возможных атак хакеров, вирусов и программ-шпионов. Риски представляют собой и нелояльные работники, которые могут украсть данные. Эти риски можно уменьшить, создавая программное обеспечение безопасным и по возможности свободным от дыр в безопасности. Доступ к данным должен быть защищен как программно, так и аппаратно. Одним из источников риска являются отказы в работе системы. С одной стороны они могут предоставить возможность доступа к данным, с другой стороны крах системы влияет на повседневную деятельность компании, то есть возникает опасность того, что компания не сможет выполнять свои основные функции.Ни в одной практической системе нет полной защиты, то есть полной доступности, полной целостности и полной конфиденциальности. На какие аспекты информационной защиты следует в случае конкретных данных обратить внимание, зависит от конкретной информационной системы и ее целей, т. е. от ценности обрабатываемых данных. В большинстве случаев, следует брать в расчет все три компонента безопасности, но с разным весом. Требуемый в организации уровень информационной безопасности зависит от задач организации, законодательных актов и предписаний, внутреннего распорядка деятельности организации, гарантированного или требуемого уровня защиты информационных систем и поставщиков услуг и партнеров или договорных партнеров и т.д. Итак, безопасность данных означает, что достигнуты три цели: информационная доступность, информационная целостность, информационная конфиденциальность.