Bei der Risikoanalyse handelt es sich um den Prozess, den ein Unternehmen durchläuft, um interne und externe Faktoren zu bewerten, die sich auf Produktivität, Rentabilität und Geschäftsbetrieb auswirken können. Es gibt zwei Hauptarten der Risikoanalyse. Bei diesen beiden großen Kategorien handelt es sich um die qualitative und die quantitative Risikoanalyse. Durch die Bewertung dieser Risiken können Unternehmen Pläne zur Vermeidung und Bewältigung dieser Risiken erstellen.
Die qualitative Risikoanalyse besteht aus sechs Hauptteilen. Zu den qualitativen Risikoelementen gehören Bedrohungen, Angriffe, Schwachstellen, Kontrolle, Auswirkungen und geschäftliche Auswirkungen. Ein Unternehmen muss alle diese Elemente als Gesamtpaket bewerten, um die qualitativen Risiken des Unternehmens einzuschätzen.
Um zu veranschaulichen, wie Unternehmen qualitative Risikoanalysen durchführen, gehen wir davon aus, dass ein Kreditkartenunternehmen zu jedem Zeitpunkt über Computeraufzeichnungen von 10.000 bis 500.000 Kunden verfügt. Das erste Risiko besteht darin, dass zahlreiche Mitarbeiter in verschiedenen Abteilungen Zugriff auf all diese persönlichen Kundeninformationen haben.
Wenn Prüfer beim Kreditkartenunternehmen auftauchen, besteht das Problem für die Prüfer darin, dass die Dateien keine verschlüsselten Informationen enthalten. Dies bedeutet, dass Informationen, die an den Webserver des Unternehmens gesendet werden und sich in der Datenbank befinden, gefährdet sind. Es besteht die Gefahr, dass Mitarbeiter oder externe Hacker an persönliche Informationen gelangen
Die quantitative Risikoanalyse konzentriert sich mehr auf die mit dem Unternehmen verbundenen Fakten, Zahlen und Daten. Die beiden Hauptunterkategorien der quantitativen Analyse sind die Wahrscheinlichkeit, dass das Risiko eintritt, und die Wahrscheinlichkeit eines Verlusts, wenn das Risiko tatsächlich eintritt.
Beispielsweise müsste eine Krankenkasse, die 1.000 Patientenakten intern verwaltet, das Risiko einschätzen, wenn es zu einer Verletzung der Vertraulichkeit kommt. Angenommen, in diesem Fall befinden sich die Krankenversicherungsunterlagen in einer einzigen Datenbank. Nehmen wir außerdem an, dass die Datenbank durch einen Hacker kompromittiert wird, der in die Datenbank eindringt. Im Wesentlichen werden dadurch dem Hacker alle 1.000 Patientenakten, persönlichen Informationen sowie Kranken- und Versicherungsunterlagen zugänglich gemacht.
Angenommen, das Büro der Versicherungsgesellschaft setzt einen Dollarwert von 30 US-Dollar (USD) für die Berichtigung jeder Patientenakte ein. Die Kosten von 30 US-Dollar decken alles ab, von der Änderung der Patientenkontonummern über den Druck neuer Krankenversicherungskarten bis hin zur Kontaktaufnahme mit jedem einzelnen Patienten, um ihn über den Vorfall zu informieren. Bei der Durchführung einer quantitativen Risikoanalyse beträgt die Antwort 30.000 USD. Dies ist die Höhe des Schadens, der der Geschäftsstelle der Krankenkasse durch den Verstoß gegen ihre Datenbank entsteht.
Nachdem die Behörden eine Risikoanalyse durchgeführt haben, ist es wichtig, Pläne für den Umgang mit dem Risiko zu erstellen. Beispielsweise muss das Kreditkartenunternehmen bei der Abbildung des qualitativen Risikos ein System einsetzen oder ein Programm installieren, das die Daten seiner Kunden automatisch verschlüsselt.
Asset-Smart.