Analiza ryzyka powinna uwzględniać zarwno zagrożenia zewnętrzne, takie jak ataki hakerskie, kradzieże danych czy awarie serwerw, jak i zagrożenia wewnętrzne, na przykład nieuprawnione działania pracownikw, udostępnianie wglądu do systemw osobom trzecim czy pozostawienie sprzętu firmowego bez nadzoru.