Analiza ryzyka to proces, przez który przechodzi firma, aby ocenić czynniki wewnętrzne i zewnętrzne, które mogą wpływać na produktywność, rentowność i operacje biznesowe. Istnieją dwa podstawowe rodzaje analizy ryzyka. Te dwie szerokie kategorie to jakościowa i ilościowa analiza ryzyka. Oceniając te zagrożenia, firmy mogą opracować plany dotyczące unikania ryzyka i zarządzania nim.
Jakościowa analiza ryzyka składa się z sześciu podstawowych części. Elementy ryzyka jakościowego obejmują zagrożenia, ataki, podatność, kontrolę, wpływ i wpływ na biznes. Firma musi ocenić wszystkie te elementy jako kompleksowy pakiet do oceny ryzyka jakościowego, jakie ma firma.
Aby zilustrować, w jaki sposób firmy przeprowadzają jakościową analizę ryzyka, załóżmy, że firma obsługująca karty kredytowe posiada rejestry komputerowe dotyczące 10,000 500,000 do XNUMX XNUMX klientów w dowolnym momencie. Pierwsze ryzyko polega na tym, że wielu pracowników w różnych działach ma dostęp do wszystkich tych danych osobowych klientów.
Gdy audytorzy pojawiają się w firmie obsługującej karty kredytowe, problemem, który znajdują audytorzy, jest ryzyko, że pliki nie zawierają zaszyfrowanych informacji. Oznacza to, że gdy informacja jest wysyłana na firmowy serwer WWW i znajduje się w bazie danych, jest zagrożona. Informacje są zagrożone przez pracowników lub zewnętrznych hakerów w celu uzyskania osobistych
Ilościowa analiza ryzyka jest bardziej skoncentrowana na faktach, liczbach i danych związanych z działalnością. Dwie podstawowe podkategorie analizy ilościowej to prawdopodobieństwo wystąpienia ryzyka i prawdopodobieństwo straty, jeśli ryzyko faktycznie wystąpi.
Na przykład biuro firmy ubezpieczeniowej, które ma w firmie 1,000 kart pacjentów, musiałoby ocenić ryzyko w przypadku naruszenia poufności. Załóżmy, że w tym przypadku rekordy ubezpieczenia zdrowotnego są przechowywane w jednej bazie danych. Dalej załóż, że baza danych została naruszona przez hakera włamującego się do bazy danych. Zasadniczo naraża to hakera na 1,000 akt pacjentów, dane osobowe, dokumentację medyczną i ubezpieczeniową.
Załóżmy, że biuro firmy ubezpieczeniowej ustala w dolarach wartość 30 dolarów amerykańskich (USD) za sprostowanie każdej dokumentacji pacjenta. Koszt 30 USD obejmuje wszystko, od zmiany numerów kont pacjentów i wydrukowania nowych kart ubezpieczenia zdrowotnego po skontaktowanie się z każdym z pacjentów w celu poinformowania ich o tym, co się stało. Przeprowadzając ilościową analizę ryzyka, odpowiedzią jest 30,000 XNUMX USD. Jest to kwota strat dla biura ubezpieczyciela zdrowotnego za naruszenie jego bazy danych.
Gdy uprawnienia, które mają przeprowadzić analizę ryzyka, ważne jest, aby opracować plany zarządzania ryzykiem. Na przykład w przypadku jakościowej ilustracji ryzyka firma obsługująca karty kredytowe musi zastosować system lub zainstalować program, który automatycznie szyfruje dane klientów.