Le infrastrutture informatiche sono, ordinariamente, classificate in infrastrutture elaborative, infrastrutture di memorizzazione ed infrastrutture comunicative.
Il governo di ciascuna infrastruttura è affidato a specifici software di base ai quali si affiancano ulteriori software che consentono alle infrastrutture di cooperare per supportare il ciclo di vita del dato.
Oggi molti titolari si affidano a infrastrutture informatiche basate sul cloud che facilitano gli aspetti gestionali ma di cui è buona regola valutare attentamente gli aspetti, formali e sostanziali, riguardanti la protezione dei dati personali (vedi Opinion 2/2015 del gruppo dei garanti europei).
Ciascuna componente infrastrutturale è, quindi, la parte di un sistema che, normalmente, viene denominato sistema informatico. Gli attacchi, di solito, sono basati sull’elemento più debole di questo sistema e, in particolare, sugli elementi del software di base che presentano le vulnerabilità più facili da sfruttare.