Riskianalyysi on prosessi, jonka yritys käy läpi arvioidakseen sisäisiä ja ulkoisia tekijöitä, jotka voivat vaikuttaa liiketoiminnan tuottavuuteen, kannattavuuteen ja toimintaan. Riskianalyysissä on kaksi päätyyppiä. Nämä kaksi laajaa luokkaa ovat laadullinen ja määrällinen riskianalyysi. Arvioimalla näitä riskejä yritykset voivat laatia suunnitelmia riskien välttämiseksi ja hallitsemiseksi.
Laadullinen riskianalyysi koostuu kuudesta pääosasta. Laadullisen riskin elementtejä ovat uhat, hyökkäykset, haavoittuvuus, hallinta, vaikutus ja liiketoiminnan vaikutus. Yrityksen on arvioitava kaikki nämä tekijät kokonaisvaltaisena pakettina arvioidakseen yrityksen laadullisia riskejä.
Havainnollistaaksemme, miten yritykset suorittavat laadullista riskianalyysiä, oletetaan, että luottokorttiyhtiöllä on tietokonerekisteritietoja 10,000 500,000–XNUMX XNUMX asiakkaasta milloin tahansa. Ensimmäinen riski on, että lukuisilla eri osastojen työntekijöillä on pääsy kaikkiin näihin henkilökohtaisiin asiakastietoihin.
Kun tarkastajat ilmestyvät luottokorttiyhtiölle, tarkastajien löytämä ongelma, riski on, että tiedostot eivät sisällä salattuja tietoja. Tämä tarkoittaa, että kun tiedot lähetetään yrityksen verkkopalvelimelle ja kun ne ovat tietokannassa, ne ovat vaarassa. Tiedot ovat vaarassa työntekijöiltä tai ulkopuolisilta hakkereilta saada henkilökohtaisia tietoja
Määrällinen riskianalyysi keskittyy enemmän liiketoimintaan liittyviin tosiasioihin, lukuihin ja tietoihin. Kvantitatiivisen analyysin kaksi ensisijaista alaluokkaa ovat riskin esiintymisen todennäköisyys ja tappion todennäköisyys, jos riski todella esiintyy.
Esimerkiksi sairausvakuutusyhtiön toimiston, jolla on talossa 1,000 potilastiedostoa, on arvioitava riski, jos on tapahtunut luottamuksellisuusrikkomus. Oletetaan, että tässä tapauksessa sairausvakuutustiedot tallennetaan yhteen tietokantaan. Oletetaan lisäksi, että tietokanta on vaarantunut hakkerin murtautuessa tietokantaan. Pohjimmiltaan tämä paljastaa hakkerin 1,000 potilastiedostoa, henkilökohtaisia tietoja, sairaus- ja vakuutustietoja.
Oletetaan, että vakuutusyhtiön toimisto asettaa dollarin arvoksi 30 Yhdysvaltain dollaria (USD) jokaisen potilastiedoston korjaamiseksi. 30 USD: n hinta kattaa kaiken potilastilin numeroiden muuttamisesta ja uusien sairausvakuutuskorttien tulostamisesta yhteydenottoon kullekin potilaalle ilmoittaakseen tapahtuneesta. Kun suoritetaan määrällinen riskianalyysi, vastaus on 30,000 XNUMX dollaria. Tämä on sairausvakuutusyhtiön toimiston tappion määrä sen tietokannan rikkomisesta.
Riskianalyysin suorittamisen jälkeen on tärkeää, että suunnitellaan riskien hallintaa. Esimerkiksi laadullisen riskikuvauksen avulla luottokorttiyhtiön on otettava käyttöön järjestelmä tai asennettava ohjelma, joka salaa asiakastiedot automaattisesti.