De BIR bevat een overzicht met welke dader- respectie-velijk dreigingsprofielen rekening is gehouden bij de samenstelling van het pakket aan maatregelen  

NEN-ISO-IEC 27005 noemt dit in Annex C de ‘origin of threat’. Hiermee geeft het al dan niet bewust een deel van de problematiek bij risicoanalyse weer: de opeenvolging van handelingen. De dreiging ‘onbewuste menselijke’ fout kan resulteren in de dreiging ‘programmafout’ die als ‘kwetsbaarheid’ misbruikt kan worden door de dreiging ‘hacker’.  

De menselijke factor

Van oudsher is binnen IRM de mens onderkend als potentiële dreiging. De mens kan onbewust of bewust handelen en zo fouten maken. Van onbewuste fouten is inmiddels via social engineering en phishing bekend dat deze grote gevolgen kunnen hebben die verder gaan dan het invoeren van een verkeerde waarde in een applicatie. Bij bewust fouten maken kan het gaan om: bewust schade aanrichten (vernielen), diefstal van goederen en geld (frauderen), diefstal van bedrijfsgeheimen, et cetera. In verschillende methoden komt de mens dan ook als zodanig voor. Het hangt van de methode af hoe men dit doet. Soms houdt men rekening met de mogelijkheden die mensen hebben. Dan maakt men onderscheidt tussen insiders die toegang hebben tot het gebouw waarin de organisatie gehuisvest is en outsiders die niet direct toegang hebben. Insiders kun je dan verder indelen naar eigen personeel en ingehuurd personeel dat geautoriseerd is om frequent toegang te hebben, al dan niet als schoonmaakkrachten. Bij outsiders kan het gaan om goedwillende bezoekers, maar ook om kwaadwillenden zoals hackers, criminelen / criminele organisaties, terroristen, vreemde mogendheden. Het moge duidelijk zijn dat het zinvol kan zijn om in de risicoanalyse rekening te houden met de factor mens en waar deze zich op richt. Dit beïnvloedt niet alleen de dreigingsanalyse, maar ook de impactanalyse en van daaruit de selectie van de beveiligingsmaatregelen. Het maken van een analyse van de factor mens noemt men ook wel het opstellen van daderprofielen.