Un mecanismo de salvaguarda es un procedimiento o dispositivo, físico o lógico que reduce el riesgo.

Identificaremos los mecanismos de salvaguarda asociadas a cada activo, intentando obtener información del coste del mantenimiento de tales salvaguardas.

Una amenaza es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Es necesario identificar las amenazas sobre los árboles de activos, asignándolas en función de su naturaleza a los siguientes grupos:

· Grupo Accidentes

- Subgrupo Accidente físico de origen industrial: incendio, explosión, inundación por roturas, contaminación por industrias cercanas o emisiones radioeléctricas.

- Subgrupo Avería: de origen físico o lógico, debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema. 

- Subgrupo Accidente físico de origen natural: riada, fenómeno sísmico o volcánico, meteoro, rayo, corrimiento de tierras, avalancha, derrumbe ...

- Subgrupo Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicación, fluidos y suministros diversos

- Subgrupo Accidentes mecánicos o electromagnéticos: choque, caída, cuerpo extraño, radiación, electrostática ...

· Grupo Errores

- Subgrupo Errores de utilización ocurridos durante la recogida y transmisión de datos o en su explotación por el sistema.

- Subgrupo Errores de diseño existentes desde los procesos de desarrollo del software (incluidos los de dimensionamiento, por la posible saturación de los flujos en los sistemas).

- Subgrupo Errores de ruta, secuencia o entrega de la información en tránsito.

- Subgrupo Inadecuación de monitorización, trazabilidad, registro del tráfico de información .

· Grupo Amenazas Intencionales Presenciales

- Subgrupo Acceso físico no autorizado con inutilización por destrucción o sustracción (de equipos, accesorios o infraestructura).

- Subgrupo Acceso lógico no autorizado con intercepción pasiva simple de la información (requiere sólo su lectura).

- Subgrupo Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de configuración (requiere lectura y escritura); es decir, reducción de la confidencialidad del sistema para obtener bienes o servicios aprovechables (programas, datos ...).

- Subgrupo Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración.

- Subgrupo Indisponibilidad de recursos, sean humanos (huelga, abandono, rotación) o técnicos (desvío del uso del sistema, bloqueo).

· Grupo Amenazas Intencionales de Origen Remoto

- Subgrupo Acceso lógico no autorizado con intercepción pasiva (para análisis de tráfico...).

- Subgrupo Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración (requiere lectura y escritura) y usando o no un reemisor o 'man in the middle': es decir, reducción de la integridad y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infección vírica..).

- Subgrupo Acceso lógico no autorizado con modificación (Inserción, Repetición) de información en tránsito.

- Subgrupo Suplantación de Origen (del emisor o reemisor, 'man in the middle') o de Identidad.

- Subgrupo Repudio del Origen o de la Recepción de información en tránsito.