A vulnerabilidade é um ponto fraco do próprio sistema. A vulnerabilidade é um fator interno. A existência de vulnerabilidades permite a ação dos agentes externos.
Por exemplo: se seu computador não tem um anti-virus, essa é uma vulnerabilidade; se um data center não tem dispositivos anti-incêndio, ele tem uma vulnerabilidade.
A ameaça é um agente ou ação, espontâneo ou proposital, que se aproveita das vulnerabilidades de um sistema para conseguir seu intento. A ameaça é um fator externo.
Por exemplo: emails falsos são uma ameaça (que se aproveitam da vulnerabilidade de não haver anti-virus no sistema do usuário); uma chuva com tempestades é uma ameaça, pois pode causar um incêndio.
Quando existem uma vulnerabilidade E uma ameaça simultaneamente, ocorre o que se chama, em segurança da informação, um RISCO.
Risco é o produto vulnerabilidade X ameaça. Assim, se há uma vulnerabilidade (falta de proteção contra terremotos), mas não há ameaça (sabe-se que na área não ocorrem terremotos), o risco é minimizado.
O objetivo das contra-medidas preventivas é minimizar o risco. Isso se consegue ou diminuindo as vulnerabilidades (instalar anti-virus, atualizar as versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças (seguir regras de segurança, cultivar boas relações)