Risk analizi, bir şirketin iş verimliliğini, karlılığını ve operasyonlarını etkileyebilecek iç ve dış faktörleri değerlendirmek için gerçekleştirdiği süreçtir. İki ana risk analizi türü mevcuttur. Bu iki geniş kategori nitel ve nicel risk analizidir. Şirketler bu riskleri değerlendirerek risklerin nasıl önlenebileceği ve yönetileceği konusunda plan koyabilirler.
Niteliksel risk analizi altı ana bölümden oluşmaktadır. Niteliksel risk unsurları arasında tehditler, saldırılar, kırılganlık, kontrol, etki ve iş etkisi yer almaktadır. Bir şirketin tüm bu unsurlarını, şirketin sahip olduğu nitel riskleri değerlendirmek için kapsamlı bir paket olarak değerlendirmesi gerekir.
Şirketlerin nitel risk analizini nasıl yaptığını göstermek için, bir kredi kartı şirketinin herhangi bir zamanda 10.000 ila 500.000 müşteri arasında bilgisayar kaydına sahip olduğunu varsayalım. İlk risk, farklı departmanlardaki çok sayıda çalışanın tüm bu kişisel müşteri bilgilerine erişebilmesidir.
Denetçiler kredi kartı şirketlerinde göründüğünde, denetçilerin bulduğu sorun, dosyaların şifreli bilgi içermemesidir. Bu, bilgiler işletme web sunucusuna gönderildiğinde ve veritabanına oturduğunda risk altında olduğu anlamına gelir. Bilgiler çalışanlardan veya harici bilgisayar korsanlarından kişisel bilgi edinme riski altındadır.
Kantitatif risk analizi, işletme ile ilgili gerçekler, rakamlar ve verilere daha fazla odaklanmaktadır. Kantitatif analizin iki ana alt kategorisi, ortaya çıkan riskin olasılığı ve risk gerçekten meydana gelirse zarar olasılığıdır.
Örneğin, evde 1000 hasta dosyası bulunan bir sağlık sigortası bürosunun, bir gizlilik ihlali olması durumunda riski değerlendirmesi gerekir. Bu durumda sağlık sigortası kayıtlarının tek bir veritabanında bulunduğunu varsayalım. Ayrıca, veritabanının, veritabanına giren bir bilgisayar korsanı tarafından ele geçirildiğini varsayalım. Temel olarak, bu 1.000 hasta dosyasını, kişisel bilgileri, sağlık ve sigorta kayıtlarını bilgisayar korsanına ifşa ediyor.
Sigorta şirketi ofisinin, hasta dosyalarının her birini düzeltmek için 30 ABD Doları (USD) değerinde bir dolar koyduğunu varsayalım. 30 ABD doları tutarındaki maliyet, hasta hesap numaralarını değiştirmekten ve yeni sağlık sigortası kartlarını yazdırmaktan ve hastaların neler olduğunu bildirmek için her bir hastayla iletişim kurmaya kadar her şeyi kapsar. Nicel risk analizi yapılırken cevap 30.000 ABD Dolarıdır. Bu, sağlık sigortası şirketi ofisine veri tabanının ihlali nedeniyle kaybedilen tutardır.
Bir kez bir risk analizi yapacak olan güçler, riskin nasıl yönetileceği konusunda planların oluşturulması için önemlidir. Örneğin, nitel risk gösterimi ile kredi kartı şirketinin bir sistem kullanması veya müşteri verilerini otomatik olarak şifreleyen bir program kurması gerekir.
