Analiza riscurilor este procesul prin care trece o companie pentru a evalua factorii interni și externi care pot afecta productivitatea, profitabilitatea și operațiunile afacerii. Există două tipuri principale de analiză a riscurilor. Aceste două mari categorii sunt analiza riscului calitativ și cantitativ. Evaluând aceste riscuri, companiile pot pune în aplicare planuri despre cum să evite și să gestioneze riscurile.
Analiza calitativă a riscului este compusă din șase părți principale. Elementele de risc calitativ includ amenințările, atacurile, vulnerabilitatea, controlul, impactul și impactul asupra afacerii. O companie trebuie să evalueze toate aceste elemente ca un pachet cuprinzător pentru a evalua riscurile calitative pe care le are compania.
Pentru a ilustra modul în care companiile efectuează o analiză calitativă a riscurilor, presupunem că o companie de carduri de credit are înregistrări computerizate pentru 10,000 până la 500,000 de clienți, la un moment dat. Primul risc este ca numeroși angajați din diferite departamente să aibă acces la toate aceste informații personale despre clienți.
Când auditorii se prezintă la firma de carduri de credit, problema pe care o găsesc auditorii, riscul este ca fișierele să nu conțină informații criptate. Aceasta înseamnă că atunci când informația este trimisă către serverul web al afacerii și când se află în baza de date, este în pericol. Informațiile sunt expuse riscului din partea angajaților sau a hackerilor externi de a obține informații personale
Analiza cantitativă a riscului se concentrează mai mult pe faptele, cifrele și datele asociate afacerii. Cele două subcategorii principale ale analizei cantitative sunt probabilitatea apariției riscului și probabilitatea unei pierderi dacă riscul are loc efectiv.
De exemplu, un birou al unei companii de asigurări de sănătate care are 1,000 de dosare de pacienți în casă ar trebui să evalueze riscul dacă există o încălcare a confidențialității. Să presupunem că în acest caz evidențele asigurărilor de sănătate sunt găzduite într-o singură bază de date. Mai mult, presupuneți că baza de date este compromisă de un hacker care intră în baza de date. În esență, acest lucru expune hackerului cele 1,000 de dosare ale pacienților, informații personale, dosare medicale și de asigurări.
Să presupunem că biroul companiei de asigurări plasează o valoare în dolari de 30 USD (USD) pentru rectificarea fiecărui dosar al pacientului. Costul de 30 USD acoperă totul, de la schimbarea numerelor de cont pentru pacient și tipărirea de noi carduri de asigurări de sănătate până la contactarea fiecărui pacient pentru a-i informa despre ceea ce s-a întâmplat. Când se efectuează o analiză cantitativă a riscului, răspunsul este de 30,000 USD. Aceasta este valoarea pierderii pentru biroul companiei de asigurări de sănătate pentru încălcarea bazei de date.
Odată ce puterile în cauză efectuează o analiză de risc, este important ca planuri să fie puse în aplicare cu privire la modul de gestionare a riscului. De exemplu, cu ilustrarea riscului calitativ, compania de carduri de credit trebuie să utilizeze un sistem sau să instaleze un program care criptează automat datele clienților săi.