Dreiging en risico zijn twee concepten die nauw met elkaar verwant zijn, maar ze hebben elk een specifieke betekenis. Een dreiging verwijst naar een potentieel gevaar dat schade kan berokkenen aan een entiteit, systeem of individu. Aan de andere kant, definieert risico de waarschijnlijkheid dat een specifieke dreiging zich manifesteert en de daaruit voortvloeiende schadelijke gevolgen.

Dit verband tussen dreiging en risico kan als volgt wiskundig worden uitgedrukt:

Risico = Waarschijnlijkheid * Gevolg

Hierbij staat 'Waarschijnlijkheid' voor hoe waarschijnlijk het is dat de dreiging werkelijkheid wordt, en 'Gevolg' staat voor de schade of impact van die dreiging.

Ter illustratie: een natuurramp vormt een dreiging voor een bedrijf gevestigd in een gevoelige zone. Hoewel de kans op zo'n ramp niet absoluut is, kan het wel significant zijn. De mogelijke gevolgen van zo'n ramp kunnen enorm zijn, zoals materiële schade aan infrastructuur.

In termen van informatieveiligheid kan een dreiging bijvoorbeeld een cyberaanval zijn zoals malware, phishing of DDoS-acties. Het risico in deze context beschrijft dan hoe waarschijnlijk het is dat zo'n aanval plaatsvindt en wat de potentiële schade aan de data zou zijn.

Het is essentieel voor organisaties om proactieve stappen te ondernemen om de risico's gerelateerd aan deze dreigingen te minimaliseren.