Existen muchos tipos diferentes de riesgos para la seguridad informática que una empresa o un usuario individual de la computadora debe conocer, aunque la mayoría de ellos pueden clasificarse como amenazas externas o internas. Las amenazas externas son aquellas que provienen de fuera de un sistema, como un hacker que ataca a una empresa con la que no tiene otro contacto, o la diseminación de un virus u otro malware a través de un sistema informático. Los riesgos de seguridad interna son aquellos que provienen de dentro de una empresa o sistema, como un empleado que roba información de una empresa o un descuido que conduce al robo de datos.
Algunos de los tipos de riesgos de seguridad informática más dañinos y peligrosos son los que provienen del exterior de un sistema. Una gran corporación, por ejemplo, podría mantener varios servidores para el almacenamiento de datos y el alojamiento de sitios web de la empresa y otros materiales. Los piratas informáticos externos a esa empresa pueden atacar esos sistemas a través de una variedad de métodos, generalmente destinados a interrumpir actividades u obtener información. Estos ataques pueden resultar en una gran pérdida debido a la pérdida de productividad, la interrupción de las interacciones con los clientes y el robo de datos.
También hay una serie de riesgos de seguridad no dirigidos que pueden provenir de fuentes externas. Si bien un pirata informático puede necesitar apuntar y atacar a una empresa o servidor en particular, los virus y otro software malicioso pueden ingresar a un sistema sin el conocimiento de los empleados de la empresa. Estos riesgos están siempre presentes y deben ser defendidos por una empresa o un usuario de computadora personal para garantizar que los recursos no se pierdan o se vean comprometidos por ataques futuros.
Los riesgos de seguridad informática interna pueden ser igual de peligrosos para una empresa y pueden ser incluso más difíciles de localizar o de protegerse contra ellos. Los empleados anteriores o actuales descontentos, por ejemplo, pueden filtrar información en línea sobre la seguridad o el sistema informático de la empresa. Esto puede proporcionar a los atacantes externos, como los piratas informáticos, información privilegiada para penetrar más fácilmente en un sistema y causar daños. La protección contra este tipo de comportamiento a menudo requiere procedimientos cuidadosos para contratar personal de seguridad y actualizaciones del sistema después del despido del empleado.
Pueden surgir otros riesgos de seguridad informática interna debido a descuidos, que pueden tener consecuencias graves. Un funcionario corporativo, por ejemplo, podría olvidar su computadora portátil que contiene información privada en un avión público al desembarcar. Si otra persona encuentra esta computadora portátil, es posible que pueda usar la información que contiene para robar identidades o causar daños a una empresa o individuos privados. Estos tipos de riesgos de seguridad informática son impredecibles y solo pueden evitarse mediante la educación de los empleados y funcionarios de la empresa en prácticas informáticas seguras.