هرگاه بتوان آسیب پذیربهای موجود در یک سیستم را شناسایی نمود و از راه این آسیب پذیریها به سیستم ضربه وارد نمود می گوییم اصطلاحاً امنیت سیستم مختل شده است. برای اینکه بتوان امنیت سیستم را با یک معیار اندازه گیری مقایسه نمود، مثلثی بنام مثلث امنیت اطلاعات طراحی شده است که دارای سه ضلع اصلی و پایه است. یک نفوذگر در صورتیکه بتواند از طریق آسیب پذیریهای سیستم، ضعقهای موجود در هریک از این اصول را بیابد و به سیستم از این طریق حمله کند می گوییم تهدیدها از حالت بالقوه به بالفعل تبدیل شده اند و سیستم به مخاطره افتاده است. 

مثلث امنیت اطلاعات (CIA)

لذا امنیت اطلاعات یعنی طوری امنیت سیستم را طراحی و ایجاد نماییم که شخص نفوذگر نتواند به راحتی اصول امنیتی مثلث CIA را دچار اختلال کند. اما آیا امنیت اطلاعات تنها با خرید و نصب پیشرفته ترین تجهیزات امنیتی در سازمانها ایجاد می شود . باید گفت که هیچ کسی پول نامحدود برای امن کردن همه چیز ندارد و ما نمی توانیم هیچگاه ادعا کنیم که یک رویکرد کاملاً امن را پیشرو گرفته ایم و سیستم ما در امنیت مطلق بسر می برد. لذا برای ایجاد امنیت مطلوب برای سیستم باید آسیب پذیریهای سیستم را بخوبی بشناسیم و برای آنها راه حل مناسب و کارآمد بیابیم . با بیان یک مثال، کمی واضح تر صحبت می کنیم . یک روش برای امن کردن سیستم از حملات شبکه ای، جداکردن کابل شبکه آن کامپیوتر و یا قطع کامل اینترنت است تا در مقابل حملات اینترنتی و درون شبکه ای ایمن شویم. اما آیا در این صورت کارآیی سیستم کاهش نمی یابد؟ رویکرد متضاد آن هم این است که کامپیوتر را به شبکه اینترنت متصل کنیم و برای راحتی کار کاربران از هیچگونه آنتی ویروس و یا وصله های امنیتی و یا تجهیزاتی مانند فایروال نیز استفاده نکنیم. در اینصورت شاید قابلیت دسترسی آسان را افزایش داده ایم اما امنیت شدیداً کاهش یافته و مثلث امنیتی را به خطر انداخته ایم . بنابراین کار متخصص امنیتی این است که تعادلی بین امنیت ، کاربردی بودن و دسترسی به سیستم ایجاد نماید . یعنی با سیاستهای صحیح امنیتی بدانیم و کنترل داشته باشیم که چه کاربری ، با چه سطح دسترسی ، در چه زمانی و به چه سیستمهایی دسترسی داشته باشد . در اینصورت می توانیم ادعا داشته باشیم که سازمان ما در سطح امنیت مطلوب بسر می برد .