L’analyse des risques est le processus que suit une entreprise pour évaluer les facteurs internes et externes susceptibles d’affecter la productivité, la rentabilité et les opérations de l’entreprise. Il existe deux principaux types d’analyse des risques. Ces deux grandes catégories sont l’analyse des risques qualitative et quantitative. En évaluant ces risques, les entreprises peuvent mettre en place des plans sur la manière d’éviter et de gérer les risques.
L’analyse qualitative des risques comprend six parties principales. Les éléments de risque qualitatif comprennent les menaces, les attaques, la vulnérabilité, le contrôle, l’impact et l’impact sur l’entreprise. Une entreprise doit évaluer tous ces éléments comme un ensemble complet pour évaluer les risques qualitatifs de l’entreprise.
Pour illustrer la manière dont les entreprises effectuent une analyse qualitative des risques, supposons qu’une société de cartes de crédit possède des enregistrements informatiques sur 10,000 500,000 à XNUMX XNUMX clients, à tout moment. Le premier risque est que de nombreux employés de différents services aient accès à toutes ces informations personnelles sur les clients.
Lorsque les auditeurs se présentent à la société de carte de crédit, le problème que les auditeurs trouvent, le risque est que les fichiers ne contiennent pas d’informations cryptées. Cela signifie que lorsque les informations sont envoyées au serveur Web de l’entreprise et qu’elles se trouvent dans la base de données, elles sont en danger. Les informations sont exposées au risque que les employés ou les pirates externes obtiennent des informations personnelles
L’analyse quantitative des risques est davantage axée sur les faits, les chiffres et les données associés à l’entreprise. Les deux principales sous-catégories de l’analyse quantitative sont la probabilité de survenance du risque et la probabilité d’une perte si le risque se produit effectivement.
Par exemple, un bureau d’une compagnie d’assurance maladie qui a 1,000 1,000 dossiers de patients en interne devrait évaluer le risque en cas de violation de la confidentialité. Supposons que, dans ce cas, les dossiers d’assurance maladie soient hébergés dans une seule base de données. Supposons en outre que la base de données est compromise par un pirate informatique pénétrant dans la base de données. Essentiellement, cela expose les XNUMX XNUMX dossiers de patients, les informations personnelles, les dossiers médicaux et d’assurance au pirate informatique.
Supposons que le bureau de la compagnie d’assurance attribue une valeur en dollars de 30 dollars américains (USD) pour rectifier chacun des dossiers des patients. Le coût de 30 USD couvre tout, du changement des numéros de compte du patient et l’impression de nouvelles cartes d’assurance maladie à la prise de contact avec chacun des patients pour les informer de ce qui s’est passé. Lors d’une analyse quantitative des risques, la réponse est de 30,000 XNUMX USD. Il s’agit du montant de la perte subie par le bureau de la compagnie d’assurance maladie pour la violation de sa base de données.
Une fois que les pouvoirs en place procèdent à une analyse des risques, il est alors important que des plans soient mis en place sur la manière de gérer le risque. Par exemple, avec l’illustration qualitative des risques, la société émettrice de cartes de crédit doit utiliser un système ou installer un programme qui crypte automatiquement ses données client.