El análisis de riesgos es el proceso que atraviesa una empresa para evaluar los factores internos y externos que pueden afectar la productividad del negocio, la rentabilidad y las operaciones. Existen dos tipos principales de análisis de riesgos. Estas dos amplias categorías son análisis de riesgos cualitativos y cuantitativos. Al evaluar estos riesgos, las empresas pueden establecer planes sobre cómo evitarlos y gestionarlos.

El análisis de riesgo cualitativo se compone de seis partes principales. Los elementos de riesgo cualitativo incluyen amenazas, ataques, vulnerabilidad, control, impacto e impacto comercial. Una empresa necesita evaluar todos estos elementos como un paquete integral para evaluar los riesgos cualitativos que tiene la empresa.

Para ilustrar cómo las compañías realizan análisis de riesgo cualitativos, suponga que una compañía de tarjetas de crédito tiene registros informáticos de 10,000 a 500,000 clientes, en cualquier momento dado. El primer riesgo es que numerosos empleados en diferentes departamentos tengan acceso a toda esta información personal del cliente.

Cuando los auditores se presentan en la compañía de tarjetas de crédito, el problema que encuentran los auditores es el riesgo de que los archivos no contengan información encriptada. Esto significa que cuando la información se envía al servidor web empresarial y cuando se encuentra en la base de datos, está en riesgo. La información está en riesgo por parte de los empleados o piratas informáticos externos de obtener personal

El análisis de riesgo cuantitativo se centra más en los hechos, cifras y datos asociados con el negocio. Las dos subcategorías principales del análisis cuantitativo son la probabilidad de que ocurra el riesgo y la probabilidad de una pérdida si el riesgo de hecho ocurre.

Por ejemplo, una oficina de la compañía de seguros de salud que tiene 1,000 archivos de pacientes en casa necesitaría evaluar el riesgo si hay una violación de confidencialidad. Suponga que en este caso los registros del seguro de salud se encuentran en una sola base de datos. Además, suponga que la base de datos está comprometida por un pirata informático que ingresa a la base de datos. Esencialmente, esto expone los 1,000 archivos de pacientes, información personal, registros médicos y de seguros al hacker.

Suponga que la oficina de la compañía de seguros coloca un valor en dólares de $ 30 dólares estadounidenses (USD) para rectificar cada uno de los archivos del paciente. El costo de $ 30 USD cubre todo, desde cambiar los números de cuenta del paciente e imprimir nuevas tarjetas de seguro de salud hasta contactar a cada uno de los pacientes para informarles sobre lo que sucedió. Al realizar un análisis de riesgo cuantitativo, la respuesta es de $ 30,000 USD. Esta es la cantidad de pérdida para la oficina de la compañía de seguros de salud por la violación de su base de datos.

Una vez que los poderes públicos realizan un análisis de riesgos, es importante que se establezcan planes sobre cómo gestionar el riesgo. Por ejemplo, con la ilustración del riesgo cualitativo, la compañía de tarjetas de crédito debe emplear un sistema o instalar un programa que encripte automáticamente los datos de sus clientes.