Los sistemas informáticos de una organización están constantemente sometidos a amenazas, que involucran desde fallos técnicos hasta acciones no deseadas. Una metodología de análisis de riesgos informáticos permite determinar que probabilidad existe de que éstas amenazas ocurran y del impacto que producirían si sucedieran, además de la vulnerabilidad que los sistemas informáticos pueden presentar. El análisis de riesgos informáticos comprende la identificación y evaluación de las amenazas y vulnerabilidades que afectan a la información, para luego estimar el riesgo a la que ésta se expone. Como resultado de dicho análisis la organización obtendrá una visión concreta y precisa de cuales son los aspectos en los que deberá implementar controles de seguridad y el carácter de los mismos. La información del análisis obtenido de la aplicación de la metodología representa un valioso resultado que permitirá a los niveles superiores lograr una excelente toma de decisiones con el fin de mitigar o reducir los riesgos informáticos existentes por medio de una adecuada planificación. Este es el punto inicial para la definición de una política de seguridad de la información en una organización.