Quels sont les différents types d'analyse de risque?
L'analyse des risques est le processus utilisé par une entreprise pour évaluer les facteurs internes et externes susceptibles d'affecter la productivité, la rentabilité et les opérations de l'entreprise. Il existe deux principaux types d’analyse de risque. Ces deux grandes catégories sont l’analyse qualitative et quantitative du risque. En évaluant ces risques, les entreprises peuvent établir des plans pour les éviter et les gérer.
L’analyse qualitative des risques comprend six parties principales. Les éléments de risque qualitatifs comprennent les menaces, les attaques, la vulnérabilité, le contrôle, l'impact et l'impact sur l'entreprise. Une entreprise doit évaluer tous ces éléments dans un ensemble complet pour évaluer les risques qualitatifs auxquels elle est exposée.
Pour illustrer la manière dont les entreprises procèdent à une analyse qualitative des risques, supposons qu’une société émettrice de cartes de crédit possède des enregistrements informatiques relatifs à 10 000 à 500 000 clients à un moment donné. Le premier risque est que de nombreux employés de différents départements aient accès à toutes ces informations personnelles sur les clients.
Lorsque les auditeurs se présentent chez la société émettrice de cartes de crédit, le problème est que les auditeurs constatent que les fichiers ne contiennent pas d'informations cryptées. Cela signifie que lorsque les informations sont envoyées au serveur Web de l'entreprise et lorsqu'elles se trouvent dans la base de données, elles sont exposées. Les employés ou les pirates externes risquent d’avoir des informations personnelles
L'analyse quantitative des risques est davantage axée sur les faits, les chiffres et les données associés à l'entreprise. Les deux principales sous-catégories de l'analyse quantitative sont la probabilité de survenue du risque et la probabilité d'une perte si le risque se produit réellement.
Par exemple, une société d'assurance maladie disposant de 1 000 dossiers de patients à l'interne aurait besoin d'évaluer le risque en cas de violation de la confidentialité. Supposons que, dans ce cas, les dossiers de l’assurance maladie sont stockés dans une seule base de données. Supposons en outre que la base de données est compromise par un pirate informatique qui s'introduit dans la base de données. Essentiellement, cela expose les 1 000 dossiers de patients, informations personnelles, dossiers médicaux et assurances au pirate informatique.
Supposons que le bureau de la compagnie d’assurance place une valeur en dollars de 30 dollars US (USD) pour rectifier chacun des dossiers des patients. Le coût de 30 USD couvre tout, depuis la modification du numéro de compte du patient à l'impression de nouvelles cartes d'assurance maladie, en passant par le contact avec chacun des patients pour les informer de ce qui s'est passé. Lors d’une analyse quantitative des risques, la réponse est 30 000 USD. Il s’agit du montant de la perte subie par le bureau de la compagnie d’assurance maladie pour violation de sa base de données.
Une fois que les pouvoirs en place effectuent une analyse des risques, il est alors important de mettre en place des plans sur la manière de gérer les risques. Par exemple, avec l’illustration des risques qualitatifs, la société émettrice de cartes de crédit doit utiliser un système ou installer un programme qui chiffre automatiquement les données de son client.