Vulnerabilitat i amenaça són termes que es confonen sovint, per la qual cosa és necessari definir-los correctament des del principi, igual que ocorre amb el reg:
Una vulnerabilitat (en termes d'informàtica) és una feblesa o fallada en un sistema d'informació que posa en risc la seguretat de la informació permetent que un atacant pugui comprometre la integritat, disponibilitat o confidencialitat d'aquesta. Necessitarem per tant trobar-les i corregir-les al més aviat possible. Aquests «forats» poden tenir diferents orígens, per exemple: fallades de disseny, errors de configuració o mancances de procediments.
D'altra banda, una amenaça és tota acció que s'aprofita d'una vulnerabilitat per a atacar a un sistema d'informació. És a dir, que podria tenir un potencial efecte negatiu sobre algun element dels nostres sistemes. Les amenaces poden procedir d'atacs (frau, robatori, virus), successos físics (incendis, inundacions) o negligència i decisions institucionals (mal maneig de contrasenyes, no usar xifratge).
Des del punt de vista d'una organització, les amenaces poden ser tant internes com externes.