Η ανάλυση κινδύνου είναι η διαδικασία στην οποία περνά μια εταιρεία για να αξιολογήσει εσωτερικούς και εξωτερικούς παράγοντες που μπορεί να επηρεάσουν την παραγωγικότητα, την κερδοφορία και τις λειτουργίες της επιχείρησης. Υπάρχουν δύο κύριοι τύποι ανάλυσης κινδύνου. Αυτές οι δύο μεγάλες κατηγορίες είναι η ποιοτική και η ποσοτική ανάλυση κινδύνου. Με την αξιολόγηση αυτών των κινδύνων, οι εταιρείες μπορούν να θέσουν σε εφαρμογή σχέδια για τον τρόπο αποφυγής και διαχείρισης των κινδύνων.
Η ποιοτική ανάλυση κινδύνου αποτελείται από έξι κύρια μέρη. Τα στοιχεία ποιοτικού κινδύνου περιλαμβάνουν απειλές, επιθέσεις, ευπάθεια, έλεγχο, αντίκτυπο και επιχειρηματικό αντίκτυπο. Μια εταιρεία πρέπει να αξιολογήσει όλα αυτά τα στοιχεία ως ένα ολοκληρωμένο πακέτο για την αξιολόγηση των ποιοτικών κινδύνων που έχει η εταιρεία.
Για να δείξετε πώς οι εταιρείες διεξάγουν ποιοτική ανάλυση κινδύνου, υποθέστε ότι μια εταιρεία πιστωτικών καρτών έχει αρχεία υπολογιστή σε 10,000 έως 500,000 πελάτες, ανά πάσα στιγμή. Ο πρώτος κίνδυνος είναι ότι πολλοί υπάλληλοι σε διαφορετικά τμήματα έχουν πρόσβαση σε όλες αυτές τις προσωπικές πληροφορίες πελατών.
Όταν οι ελεγκτές εμφανίζονται στην εταιρεία πιστωτικών καρτών, το πρόβλημα που βρίσκουν οι ελεγκτές, ο κίνδυνος είναι τα αρχεία να μην περιέχουν κρυπτογραφημένες πληροφορίες. Αυτό σημαίνει ότι όταν οι πληροφορίες αποστέλλονται στον διακομιστή ιστού της επιχείρησης και όταν βρίσκονται στη βάση δεδομένων, κινδυνεύουν. Οι πληροφορίες διατρέχουν κίνδυνο από τους υπαλλήλους ή εξωτερικούς χάκερ από την απόκτηση προσωπικών
Η ποσοτική ανάλυση κινδύνου επικεντρώνεται περισσότερο στα γεγονότα, τα στοιχεία και τα δεδομένα που σχετίζονται με την επιχείρηση. Οι δύο κύριες υποκατηγορίες της ποσοτικής ανάλυσης είναι η πιθανότητα εμφάνισης του κινδύνου και η πιθανότητα απώλειας εάν ο κίνδυνος όντως συμβεί.
Για παράδειγμα, ένα γραφείο εταιρείας ασφάλισης υγείας που διαθέτει 1,000 φακέλους ασθενών θα πρέπει να αξιολογήσει τον κίνδυνο σε περίπτωση παραβίασης του απορρήτου. Ας υποθέσουμε ότι σε αυτή την περίπτωση τα αρχεία ασφάλισης υγείας βρίσκονται σε μια ενιαία βάση δεδομένων. Επιπλέον, υποθέστε ότι η βάση δεδομένων έχει παραβιαστεί από έναν χάκερ που εισέβαλε στη βάση δεδομένων. Ουσιαστικά, αυτό εκθέτει τα αρχεία των 1,000 ασθενών, τα προσωπικά στοιχεία, τα ιατρικά και ασφαλιστικά αρχεία στον χάκερ.
Ας υποθέσουμε ότι το γραφείο της ασφαλιστικής εταιρείας τοποθετεί μια αξία δολαρίου 30 δολαρίων ΗΠΑ (USD) για τη διόρθωση καθενός από τους φακέλους ασθενούς. Το κόστος των 30 $ USD καλύπτει τα πάντα, από την αλλαγή των αριθμών λογαριασμού ασθενών και την εκτύπωση νέων καρτών ασφάλισης υγείας έως την επικοινωνία με καθέναν από τους ασθενείς για να τους ενημερώσει για το τι συνέβη. Κατά τη διεξαγωγή μιας ποσοτικής ανάλυσης κινδύνου, η απάντηση είναι 30,000 $ USD. Αυτό είναι το ποσό της απώλειας στο γραφείο της εταιρείας ασφάλισης υγείας για την παραβίαση της βάσης δεδομένων του.
Από τη στιγμή που οι αρμόδιες δυνάμεις διενεργήσουν ανάλυση κινδύνου, τότε είναι σημαντικό να τεθούν σε εφαρμογή σχέδια σχετικά με τον τρόπο διαχείρισης του κινδύνου. Για παράδειγμα, με την απεικόνιση ποιοτικού κινδύνου, η εταιρεία πιστωτικών καρτών πρέπει να χρησιμοποιήσει ένα σύστημα ή να εγκαταστήσει ένα πρόγραμμα που κρυπτογραφεί αυτόματα τα δεδομένα των πελατών της.