Riesgo vs Amenaza

Un ejemplo de una distinción entre amenaza y riesgo es la preparación de Estados Unidos ante el ataque a las torres gemelas. A pesar de que la CIA había advertido de un "peligro claro y presente" de que fueran usados aviones como armas, esto era considerado una amenaza y no un riesgo. Por esto es que ningún escenario de probabilidades y contramedidas había sido preparado. Desde un punto de vista probabilístico frecuencial, una amenaza no puede ser considerada un riesgo sin al menos un incidente específico donde la amenaza se haya concretado. Desde este punto de vista, habría una base para afirmar por ejemplo "en la historai de la humanidad, X viajes aéreos han conducido a ...". Por el otro lado, métodos de probabilidad bayesiana permitirían que cierto grado de creencia fuera asignado a las amenazas, incluso si nunca ocurrieron antes, y esto podría ser entonces tratado como una probabilidad.

Amenazas en un contexto de seguridad de la información incluyen actos dirigidos, deliberados (por ejemplo por hackers) y eventos no dirigidos, aleatorios o impredecibles (como ser un rayo).