Os riscos cibernéticos são ataques virtuais que ocorrem na área de tecnologia das empresas, podendo ser em uma única máquina ou em uma rede de computadores. Os riscos mais comuns são: disseminação de vírus que coletam e-mails para venda de mailing, interrupção sistêmica, danos a ativos digitais, fraudes bancárias, violação de propriedade intelectual e direitos, roubo de dados para ameaças e extorsão, mera invasão de sites para deixar mensagens difamatórias como forma de insulto a outras pessoas, roubo de dados para exposição pública, perda de dados através de perda de hardware ou interrupção de prestação de serviços. Muitas vezes, as empresas não ficam sabendo que foram atacadas, pois não é uma descoberta simples. O prazo entre a invasão e a percepção de que houve a invasão é extenso. E o custo para reestabelecer o sistema que foi atacado é enorme. Na investigação forense, o custo é alto, pois precisam ser feitas análise dos vestígios deixados na cena do crime e contratação de peritos e de especialistas nas mais diversas áreas para chegar ao criminoso.

Com o crescimento de novas tecnologias, as informações hoje são mais fluidas. Existe a facilidade da informação através de celulares, tablets e notebooks. Muitas empresas adotam o home office para seus colaboradores e eles podem trabalhar em diversos lugares, como em casa, na praia ou no avião. Com isso, levam as informações para esses locais, deixando as empresas mais suscetíveis ao vazamento de informações e quebra de sigilo.

O mais comum são os ataques externos por hackers e organizações criminosas através dos fornecedores e clientes, como, por exemplo, os Data Centers, ou mesmo de redes sociais como Twitter, Facebook e LinkedIn. Mas as ameaças podem ocorrer de outras formas, internamente nas empresas: colaboradores desonestos que fazem o roubo físico ou de dados, colaboradores negligentes que fazem o envio errôneo de dados ou ocorrência de perda de hardware.