Este proceso abarca la identificación y documentación de deficiencias o fallos, ya sean físicos (como riesgos de inundaciones, incendios, controles de acceso deficientes) o lógicos (relacionados con configuraciones incorrectas, falta de actualizaciones) en un sistema informático.

El objetivo es descubrir debilidades que podrían ser explotadas por actores malintencionados, representando un riesgo para la organización y sus sistemas. Además de la identificación de estas vulnerabilidades, el análisis también incluye la propuesta de soluciones para mitigar los riesgos identificados.

Este proceso es esencial para prevenir ataques a los sistemas informáticos y proteger la integridad, confidencialidad y disponibilidad de la información almacenada y procesada en ellos.