Jake Koun (2010) menjelaskan risiko adalah pengukuran kuantitatif dari potensi kerusakan yang disebabkan ancaman, celah keamanan, atau dari suatu peristiwa (memiliki niat jahat atau tidak) yang mempengaruhi sekeumpulan aset teknologi informasi yang dimiliki oleh perusahaan. Paparan terhadap risiko (yaitu, menjadi subjek dari peristiwa yang menimbulkan risiko) menyebabkan kerugian potensial, dan risiko adalah suatu ukuran dari kerugian “rata-rata” (tipikal) yang bisa diharapkan dari paparan tersebut. Risiko, maka daripada itu, adalah ukuran kuantitatif dari kerusakan yang dapat terjadi terhadap aset tertentu bahkan setelah sejumlah pencegahan keamanan informasi telah digunakan oleh organisasi
Christopher Alberts (2002) menjelaskan risiko sebagai kemungkinan terkena kerusakan atau kerugian. Hal ini mengacu pada situasi dimana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan, yang menghasilkan dampak negatif.
Gary Stoneburner (2002) menjelaskan risiko adalah sebuah fungsi dari kemungkinan terjadinya sebuah ancaman yang berhubungan dengan celah keamanan potensial, dan dampak yang dihasilkan dari peristiwa yang merugikan tersebut pada organisasi.