Analisis risiko adalah proses yang dilalui perusahaan untuk menilai faktor internal dan eksternal yang dapat memengaruhi produktivitas, profitabilitas, dan operasi bisnis. Ada dua jenis utama dari analisis risiko. Kedua kategori besar ini adalah analisis risiko kualitatif dan kuantitatif. Dengan menilai risiko ini, perusahaan dapat membuat rencana tentang bagaimana menghindari dan mengelola risiko.
Analisis risiko kualitatif terdiri dari enam bagian utama. Elemen risiko kualitatif meliputi ancaman, serangan, kerentanan, kontrol, dampak, dan dampak bisnis. Sebuah perusahaan perlu menilai semua elemen ini sebagai satu paket komprehensif untuk mengevaluasi risiko kualitatif yang dimiliki perusahaan.
Untuk mengilustrasikan bagaimana perusahaan melakukan analisis risiko kualitatif, asumsikan bahwa perusahaan kartu kredit memiliki catatan komputer pada 10,000 hingga 500,000 pelanggan, pada waktu tertentu. Risiko pertama adalah banyak karyawan di departemen yang berbeda memiliki akses ke semua informasi pelanggan pribadi ini.
Ketika auditor muncul di perusahaan kartu kredit, masalah yang ditemukan auditor, risikonya adalah file tersebut tidak berisi informasi terenkripsi. Ini berarti bahwa ketika informasi dikirim ke server web bisnis dan ketika berada di database, itu berisiko. Informasi tersebut berisiko dari karyawan atau peretas eksternal untuk mendapatkan informasi pribadi
Analisis risiko kuantitatif lebih terfokus pada fakta, angka dan data yang terkait dengan bisnis. Dua subkategori utama dari analisis kuantitatif adalah kemungkinan terjadinya risiko dan kemungkinan kerugian jika risiko tersebut benar-benar terjadi.
Misalnya, kantor perusahaan asuransi kesehatan yang memiliki 1,000 file pasien di rumah perlu menilai risiko jika ada pelanggaran kerahasiaan. Asumsikan bahwa dalam hal ini catatan asuransi kesehatan disimpan dalam satu database. Lebih lanjut asumsikan bahwa database dikompromikan oleh peretas yang membobol database. Pada dasarnya, ini mengekspos 1,000 file pasien, informasi pribadi, catatan medis dan asuransi kepada peretas.
Asumsikan bahwa kantor perusahaan asuransi menempatkan nilai dolar $30 Dolar AS (USD) untuk memperbaiki setiap file pasien. Biaya $30 USD mencakup semuanya, mulai dari mengubah nomor rekening pasien dan mencetak kartu asuransi kesehatan baru hingga menghubungi setiap pasien untuk memberi tahu mereka tentang apa yang terjadi. Saat melakukan analisis risiko kuantitatif, jawabannya adalah $30,000 USD. Ini adalah jumlah kerugian kantor perusahaan asuransi kesehatan karena pelanggaran database-nya.
Setelah kekuatan yang akan melakukan analisis risiko, maka penting untuk membuat rencana tentang bagaimana mengelola risiko. Misalnya, dengan ilustrasi risiko kualitatif, perusahaan kartu kredit harus menggunakan sistem atau menginstal program yang secara otomatis mengenkripsi data pelanggannya.