Анализ рисков - это процесс, который проходит компания, чтобы оценить внутренние и внешние факторы, которые могут повлиять на производительность бизнеса, прибыльность и операции. Существуют два основных типа анализа рисков. Эти две широкие категории качественного и количественного анализа рисков. Оценивая эти риски, компании могут составить планы о том, как избежать и управлять рисками.

Качественный анализ рисков состоит из шести основных частей. Элементы качественного риска включают угрозы, атаки, уязвимость, контроль, воздействие и влияние на бизнес. Компания должна оценить все эти элементы как комплексный пакет для оценки качественных рисков, которые компания несет.

Чтобы проиллюстрировать, как компании проводят качественный анализ рисков, предположим, что компания-производитель кредитных карт имеет компьютерные записи на 10000-50000 клиентов в любой момент времени. Первый риск заключается в том, что многочисленные сотрудники в разных отделах имеют доступ ко всей этой личной информации о клиентах.

Когда аудиторы появляются в компании, выпускающей кредитные карты, проблема, которую обнаруживают аудиторы, заключается в том, что файлы не содержат зашифрованную информацию. Это означает, что когда информация отправляется на бизнес-веб-сервер и находится в базе данных, она подвергается риску. Информация подвергается риску со стороны сотрудников или внешних хакеров при получении личных

Количественный анализ рисков более сфокусирован на фактах, цифрах и данных, связанных с бизнесом. Двумя основными подкатегориями количественного анализа являются вероятность возникновения риска и вероятность потери в случае фактического возникновения риска.

Например, офис медицинской страховой компании, имеющий в своем распоряжении 1000 файлов пациентов, должен будет оценить риск в случае нарушения конфиденциальности. Предположим, что в этом случае записи о медицинском страховании хранятся в одной базе данных. Далее предположим, что база данных взломана хакером, взломавшим базу данных. По сути, это предоставляет хакеру 1000 файлов пациентов, личную информацию, медицинские и страховые документы.

Предположим, что офис страховой компании выставляет долларовую стоимость 30 долларов США (USD) для исправления каждого из файлов пациента. Стоимость 30 долларов США покрывает все: от изменения номеров счетов пациентов и распечатки новых карточек медицинского страхования до обращения к каждому пациенту, чтобы сообщить им о том, что произошло. При проведении количественного анализа рисков ответ составляет 30 000 долларов США. Это сумма ущерба, нанесенного офису медицинской страховой компании за нарушение ее базы данных.

После того, как полномочия будут проводить анализ риска, важно разработать планы управления риском. Например, на примере качественного риска компания, выпускающая кредитные карты, должна использовать систему или установить программу, которая автоматически шифрует данные своих клиентов.