Intenta cuantificar los beneficios usando protección contra amenazas específicas.
El riesgo es función de la aparición de amenazas y de la vulnerabilidad de
las protecciones.
Puesto que el análisis consume tiempo e involucra estimaciones que los usuarios
son incapaces de llevar a cabo se asumen categorías genéricas de amenazas
y de objetivos(hard, soft y documentos).