Phân tích Rủi ro An ninh là gì?

Phân tích rủi ro (hoặc) là một cuộc kiểm tra có phương pháp thu thập tất cả các yếu tố về quản lý rủi ro (xác định, phân tích và kiểm soát) và là một yếu tố quan trọng để một tổ chức phát triển chiến lược quản lý rủi ro hiệu quả. Phân tích rủi ro bao gồm bốn bước sau: Xác định tài sản cần được bảo vệ, bao gồm giá trị tương đối, độ nhạy, hoặc tầm quan trọng đối với tổ chức.

Thành phần xác định rủi ro này là định giá tài sản.

1. Xác định các mối đe dọa cụ thể, bao gồm tần suất đe dọa và dữ liệu tác động.

   Thành phần xác định rủi ro này là mối đe dọa phân tích.

2. Tính toán kỳ vọng do tổn thất hàng năm (ALE).

   Tính toán ALE là một khái niệm cơ bản trong phân tích rủi ro.

3. Chọn các biện pháp bảo vệ phù hợp.

   Quá trình này là một phần của cả việc xác định rủi ro (đánh giá tính dễ tổn thương) và kiểm soát rủi ro.

Mức Độ Chết Rủi ro Hàng năm (ALE)

cung cấp một thước đo tiêu chuẩn, có thể định lượng về tác động mà một mối đe dọa thực sự xảy ra đối với tài sản của tổ chức. Bởi vì đây là tổn thất hàng năm ước tính cho một mối đe dọa hoặc sự kiện được thể hiện bằng đô la, ALE đặc biệt hữu ích để xác định tỷ lệ chi phí-lợi ích của biện pháp tự vệ hoặc kiểm soát. Bạn xác định ALE bằng cách sử dụng công thức này: SLE x ARO = ALE

Single Loss Expectancy (SLE):

Đo lường sự thiệt hại phát sinh từ một mối đe doạ hoặc sự kiện xảy ra duy nhất, được trình bày bằng đô la. Bạn tính SLE bằng cách sử dụng công thức Giá trị tài sản × Hệ số phơi sáng (EF).

Hệ số phơi sáng (EF)

• là thước đo về ảnh hưởng tiêu cực hoặc ảnh hưởng mà một mối đe dọa hoặc sự kiện đã được thực hiện đối với một tài sản cụ thể, được biểu diễn dưới dạng phần trăm. Tốc độ xuất hiện hàng năm (ARO):

  Tần số xuất hiện hàng năm ước tính cho một mối đe dọa hoặc sự kiện.

• Hai loại phân tích rủi ro chủ yếu là định tính và định lượng. Phân tích rủi ro định tính

Phân tích rủi ro định tính là chủ quan hơn là phân tích rủi ro định lượng; không giống như phân tích rủi ro định lượng, cách tiếp cận này để phân tích rủi ro có thể là chất lượng thuần túy và tránh số lượng cụ thể hoàn toàn. Thách thức của cách tiếp cận này là phát triển những kịch bản thực sự mô tả các mối đe dọa thực tế và những tổn thất tiềm tàng đối với tài sản của tổ chức.

Phân tích rủi ro định tính có một số lợi thế khi so sánh với phân tích rủi ro định lượng; chúng bao gồm

Không cần tính toán phức tạp.

Thời gian và nỗ lực làm việc tương đối thấp.

Khối lượng dữ liệu đầu vào được yêu cầu tương đối thấp.

• Nhược điểm của phân tích rủi ro định tính, so với phân tích rủi ro định lượng, bao gồm
• Không có chi phí tài chính được xác định; do đó phân tích chi phí - lợi ích là không thể.
• Cách tiếp cận định tính dựa nhiều hơn vào giả thuyết và phỏng đoán.

Nói chung phân tích rủi ro về chất lượng không thể được tự động.

• Phân tích định tính dễ dàng truyền đạt. (Các nhà quản lý dường như hiểu "
• Điều này sẽ tốn 3 triệu USD trong 12 tháng"
• tốt hơn "
• Điều này sẽ gây ra thiệt hại không xác định tại một ngày không xác định trong tương lai.") phân tích rủi ro không cố gắng gán các giá trị số cho các thành phần (tài sản và mối đe dọa) của việc phân tích rủi ro. Phân tích rủi ro định lượng Phân tích rủi ro định lượng đầy đủ yêu cầu tất cả các yếu tố của quá trình, bao gồm giá trị tài sản, tác động, tần số đe dọa, hiệu quả bảo vệ, chi phí tự vệ, độ không chắc chắn và xác suất được đo lường và chỉ định các giá trị số.

Phân tích rủi ro định lượng

cố gắng gán các giá trị số liệu khách quan hơn (chi phí) cho các thành phần (tài sản và mối đe dọa) trong phân tích rủi ro.

Ưu điểm của phân tích rủi ro định lượng, so với phân tích rủi ro định tính, bao gồm: Chi phí tài chính được xác định; do đó phân tích chi phí - lợi ích có thể được xác định. Dữ liệu cụ thể, cụ thể hơn hỗ trợ phân tích; do đó giả định ít hơn và ít phỏng đoán được yêu cầu.

Phân tích và tính toán thường có thể được tự động.

• Kết quả cụ thể có thể định lượng được dễ dàng hơn để giao tiếp với giám đốc điều hành và quản lý cấp cao.
• Nhược điểm của phân tích rủi ro định lượng, so với phân tích rủi ro định tính, bao gồm:
• Những sai lệch của con người sẽ làm lệch các kết quả.
• Nhiều tính toán phức tạp thường được yêu cầu.

Thời gian và nỗ lực làm việc tương đối cao.

• Khối lượng dữ liệu đầu vào yêu cầu tương đối cao.
• Một số giả định được yêu cầu.
• Phân tích nguy cơ định lượng hoàn toàn không thể thực hiện được. Chủ yếu, điều này là bởi vì rất khó để xác định một xác suất chính xác xảy ra cho bất kỳ kịch bản mối đe dọa nhất định. Vì lý do này, nhiều phân tích rủi ro là sự pha trộn của phân tích rủi ro định tính và định lượng, được gọi là phân tích rủi ro lai.
• Phân tích rủi ro lai
• Một phân tích rủi ro lai kết hợp các yếu tố của cả phân tích rủi ro định lượng và định tính. Những thách thức trong việc xác định xác suất chính xác của sự xuất hiện, cũng như tác động thực sự của một sự kiện, bắt buộc nhiều nhà quản lý rủi ro phải làm trung gian. Trong những trường hợp như vậy, các giá trị định lượng được xác định một cách dễ dàng (như giá trị tài sản) được sử dụng kết hợp với các biện pháp định tính về xác suất xuất hiện và mức độ rủi ro. Thật vậy, nhiều cái gọi là phân tích rủi ro định lượng được mô tả chính xác hơn là lai.