Una vulnerabilidad es la potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.

Para estimar la vulnerabilidad o frecuencia potencial de las amenazas que afectan a cada activo o grupo, debe participar el responsable y por tanto buen conocedor de cada activo, sufi­cientemente informado por el especialista para que comprenda o imagine con objetividad la acción poten­cial de las amenazas.

Consideraremos tres tipos de vulnerabilidades:

- Vulnerabilidad intrínseca, si sólo depende del activo y de la amenaza

- Vulnerabilidad efectiva,  resultante de la aplicación de las salvaguardas existentes

- Vulnerabilidad residual, resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del análisis y gestión de riesgos.

Deberemos medir la vulnerabilidad, considerando la distancia entre la amenaza potencial y su materialización como agresión real sobre el activo. Siempre que sea posible, calcularemos la frecuencia de ocurrencia a partir de hechos objetivos (estadísticas de incidentes o series empíricas). Por ejemplo, una ocurrencia por semana laboral lleva a una frecuencia de 1:5 = 0,2; una ocurrencia por mes laboral da una frecuencia de 1:20 = 0,05.

Podemos considerar las siguientes frecuencias orientativas:

Identificación de impactos

El impacto de un activo es la consecuencia sobre éste de la materialización de una amenaza. Es la diferencia en las estimaciones del estado de seguridad del activo obtenidas antes y después de la agresión o materialización de la amenaza sobre éste. Un impacto puede ser cuantitativo (si representa pérdidas económicas) o cualitativo.

El impacto en función de sus consecuencias podremos agruparlo:

· Consecuencias cualitativas

- Tendríamos conceptos como inseguridad jurídica, desconfianza, incomodidades, imagen, know-how, deontología, credibilidad, prestigio.

· Consecuencias cuantitativas

- Perdidas de valor económico, ligadas a activos inmobiliarios o inventariables

- Pérdidas indirectas, valorables económicamente, no inventariadas (gastos de tasación y restauración, reposición de elementos no materiales del sistema: datos, programs, documentación, procedimientos.

- Pérdidas indirectas, valorables económicamente y unidas a disfuncionalidades tangibles (perturbación o ruptura de los flujos y ciclos productivos, deterioro de calidad del producto, incapacidad de cumplimentar las obligaciones contractuales o estatutarias).

- Pérdidas económicas relativas a responsabilidad legal (civil, penal o administrativa)

En este apartado deberemos identificar los impactos sobre los activos y asignarlos a los dos anteriores grupos.  A partir de esta información procederemos a valorar el coste económico de u impacto sobre un activo.

Podemos considerar las siguientes escalas orientativas para el cálculo cuantitativo de un impacto: