Analiza rizika je proces kroz koji tvrtka prolazi kako bi procijenila interne i vanjske čimbenike koji mogu utjecati na poslovnu produktivnost, profitabilnost i poslovanje. Postoje dvije osnovne vrste analize rizika. Ove dvije široke kategorije su kvalitativna i kvantitativna analiza rizika. Procjenom tih rizika, tvrtke mogu postaviti planove o tome kako izbjeći rizike i upravljati njima.
Kvalitativna analiza rizika sastoji se od šest primarnih dijelova. Elementi kvalitativnog rizika uključuju prijetnje, napade, ranjivost, kontrolu, utjecaj i poslovni utjecaj. Tvrtka treba procijeniti sve ove elemente kao sveobuhvatan paket za procjenu kvalitativnih rizika koje tvrtka ima.
Kako bismo ilustrirali kako tvrtke provode kvalitativnu analizu rizika, pretpostavimo da tvrtka za izdavanje kreditnih kartica ima računalne zapise o 10,000 do 500,000 klijenata u bilo kojem trenutku. Prvi rizik je da brojni zaposlenici u različitim odjelima imaju pristup svim tim osobnim podacima korisnika.
Kada se revizori pojave u tvrtki za izdavanje kreditnih kartica, problem koji revizori pronalaze, rizik je da datoteke ne sadrže šifrirane informacije. To znači da kada se informacije šalju poslovnom web poslužitelju i kada se nalaze u bazi podataka, one su u opasnosti. Podaci su izloženi riziku od strane zaposlenika ili vanjskih hakera zbog dobivanja osobnih podataka
Kvantitativna analiza rizika više je usmjerena na činjenice, brojke i podatke povezane s poslovanjem. Dvije primarne potkategorije kvantitativne analize su vjerojatnost nastanka rizika i vjerojatnost gubitka ako se rizik stvarno dogodi.
Na primjer, ured zdravstvenog osiguranja koji u kući ima 1,000 kartoteka pacijenata trebao bi procijeniti rizik ako postoji povreda povjerljivosti. Pretpostavimo da se u ovom slučaju evidencije zdravstvenog osiguranja nalaze u jednoj bazi podataka. Nadalje pretpostavimo da je baza podataka ugrožena hakerom koji je provalio u bazu podataka. U biti, to hakeru izlaže 1,000 kartoteka pacijenata, osobnih podataka, medicinskih i osiguranja.
Pretpostavimo da ured osiguravajućeg društva stavlja vrijednost u dolarima od 30 američkih dolara (USD) za ispravljanje svakog kartona pacijenta. Trošak od 30 USD pokriva sve, od promjene brojeva računa pacijenata i ispisa novih kartica zdravstvenog osiguranja do kontaktiranja svakog od pacijenata kako bi ih obavijestili o tome što se dogodilo. Prilikom provođenja kvantitativne analize rizika, odgovor je 30,000 USD. Ovo je iznos gubitka ureda zdravstvenog osiguranja zbog kršenja njegove baze podataka.
Nakon što ovlasti provedu analizu rizika, tada je važno da se postave planovi o tome kako upravljati rizikom. Na primjer, s kvalitativnom ilustracijom rizika, tvrtka za kreditnu karticu mora koristiti sustav ili instalirati program koji automatski šifrira podatke o klijentima.