Analiza tveganja je proces, skozi katerega podjetje oceni notranje in zunanje dejavnike, ki lahko vplivajo na poslovno produktivnost, dobičkonosnost in poslovanje. Obstajata dve glavni vrsti analize tveganja. Ti dve široki kategoriji sta kvalitativna in kvantitativna analiza tveganja. Z oceno teh tveganj lahko podjetja pripravijo načrte, kako se izogniti tveganjem in jih obvladovati.
Kvalitativna analiza tveganja je sestavljena iz šestih primarnih delov. Elementi kvalitativnega tveganja vključujejo grožnje, napade, ranljivost, nadzor, vpliv in poslovni vpliv. Podjetje mora vse te elemente oceniti kot celovit paket za oceno kvalitativnih tveganj, ki jih ima podjetje.
Za ponazoritev, kako podjetja izvajajo kvalitativno analizo tveganja, predpostavimo, da ima podjetje s kreditnimi karticami računalniške zapise o 10,000 do 500,000 strankah v vsakem trenutku. Prvo tveganje je, da imajo številni zaposleni v različnih oddelkih dostop do vseh teh osebnih podatkov o strankah.
Ko se revizorji pojavijo pri izdajatelju kreditnih kartic, je težava, ki jo revizorji ugotovijo, tveganje, da datoteke ne vsebujejo šifriranih informacij. To pomeni, da so informacije ogrožene, ko so poslane na poslovni spletni strežnik in ko se nahajajo v bazi podatkov. Podatki so ogroženi zaradi pridobivanja osebnih podatkov zaposlenih ali zunanjih hekerjev
Kvantitativna analiza tveganja je bolj osredotočena na dejstva, številke in podatke, povezane s poslom. Dve primarni podkategoriji kvantitativne analize sta verjetnost nastanka tveganja in verjetnost izgube, če se tveganje dejansko pojavi.
Na primer, pisarna zdravstvene zavarovalnice, ki ima v hiši 1,000 kartotek bolnikov, bi morala oceniti tveganje, če pride do kršitve zaupnosti. Predpostavimo, da so v tem primeru evidence zdravstvenega zavarovanja shranjene v eni bazi podatkov. Nadalje predpostavimo, da je bazo podatkov ogrožen heker, ki je vdrl v bazo podatkov. V bistvu je to hekerju izpostavilo 1,000 pacientovih kartotek, osebne podatke, zdravstvene in zavarovalne kartoteke.
Predpostavimo, da pisarna zavarovalnice za popravo vsake od pacientovih kartotek položi vrednost v dolarju 30 ameriških dolarjev (USD). Stroški 30 USD pokrivajo vse, od spreminjanja številk bolnikovega računa in tiskanja novih kartic zdravstvenega zavarovanja do stika z vsakim od pacientov, da jih obvestimo o tem, kaj se je zgodilo. Pri izvedbi kvantitativne analize tveganja je odgovor 30,000 USD. To je znesek izgube urada zdravstvene zavarovalnice zaradi kršitve njene baze podatkov.
Ko pooblastila izvedejo analizo tveganja, je pomembno, da se pripravijo načrti o tem, kako obvladovati tveganje. Na primer, pri kvalitativni ilustraciji tveganja mora izdajatelj kreditnih kartic uporabiti sistem ali namestiti program, ki samodejno šifrira podatke o njegovih strankah.