I sistemi informatici di una ditta sono vulnerabili ad attacchi esterni se esistono certi sistemi operativi, reti,  protocolli, configurazioni, servizi, metodi d'uso e di amministrazione, che permettono l'attacco o lo rendono piu' agevole. Le vulnerabilita' vanno considerate in funzione del tipo di minaccia o di attacco e del tipo di criminale.