Assim como a existência das vulnerabilidades é um fator intrínseco dos ativos de segurança da informação, as ameaças também são. Por este motivo que o gerenciamento de riscos é muito importante e deve ser um processo contínuo dentro da organização. Através do gerenciamento de riscos é possível desenvolver medidas de segurança para cada etapa do ciclo do incidente. Nesta etapa (ameaças) podemos aplicar medidas de redução e de prevenção das ameaças.