La strategia da implementare ai fini della sicurezza deve essere definita in base a un'accurata e neutrale valutazione dei rischi e delle risorse da proteggere. Nell'area della metodologia SecurIT relativa all'analisi dei rischi vengono poste le basi per affrontare correttamente le attivitā di progettazione relative alla sicurezza, assegnando adeguate risorse e prioritā alla soluzione dei problemi evidenziati.

I servizi di quest'area consentono di individuare e misurare la reale entitā dei rischi che un’azienda o un ente si trova ad affrontare in base all’attivitā svolta e alle proprie caratteristiche ambientali, tecnologiche e organizzative. In particolare tali servizi permettono di ottenere una stima del rischio di subire dannosi attacchi ai sistemi, alle strutture e quindi alle informazioni di una organizzazione, identificando i punti deboli dei sistemi informativi aziendali e le modalitā con le quali potrebbero essere attaccati.

Nell’ottica di una gestione strategica della sicurezza, č in questa fase che vengono inoltre definite le prioritā con cui devono essere affrontati i possibili rischi, compatibilmente con le risorse economiche disponibili e con i problemi organizzativi e di servizio.