La tua definizione di rischio è Risk = Impact(event) * Probability(event)
.
Il caso generale è il valore previsto o E(x) = x * Prob(x)
.
Se vogliamo descriverlo in termini misurabili, il valore in dollari è la metrica di scelta più generale di cui le persone possono essere convinte a preoccuparsi, quindi
Dollars-at-Risk = Loss due to event * Probability of event occurring
Le tue politiche di rischio abbasseranno il Probability of the event occurring
(il livello di incidenza), speriamo!
In assenza di documentazione, sembra probabile che i vostri predecessori, che hanno redatto le vecchie politiche di rischio, abbiano commesso l'errore di modificare entrambi i termini. L'unico modo in cui l'altro termine, Loss due to event
cambierà da qualcosa di esterno ma causale, ad es. passaggio di tempo, o a causa di contingenza. Diciamo che l'incidente è una violazione della rete che provoca un'interruzione del sistema.
Passaggio del tempo
La perdita del dollaro dovuta a un'interruzione potrebbe essere aumentata da quando i tuoi colleghi hanno redatto i documenti di analisi del rischio. Ad esempio, i costi dovuti a interruzioni e la conseguente perdita di produttività potrebbero essere più elevati perché il personale attuale, cioè i dati scienziati, è più qualificato e più altamente retribuito rispetto ai loro predecessori, cioè gli statistici applicati.
L'impatto sull'interruzione del sistema potrebbe essere diminuito . Per esempio, gli statistici, intendo gli scienziati dei dati, fanno tutti i loro computing ad alte prestazioni nel cloud AWS EC2 (tramite smartphone BYOD) ora, invece di un Cray o mainframe nel seminterrato.
Contingency
La valutazione del rischio basata sull'impotenza sarebbe eccessivamente improbabile senza una spiegazione di accompagnamento. Qualsiasi spiegazione di questo tipo sarebbe inclusa, come parte della politica di controllo del rischio.
Inoltre, sarebbe difficile da fare con qualsiasi precisione. Semplicemente come un esperimento mentale, estendiamo questo scenario di interruzione. Un'interruzione potrebbe non interessare gli scienziati dei dati, ma potrebbe prendere l'elaborazione di fatturazione e buste paga, il che sarebbe molto costoso! Ma ciò significherebbe che il mainframe del seminterrato è andato offline. Nessuna politica di mitigazione del rischio è in grado di coprire tale evento estremo anomalo , né dovrebbe, non fintanto che ci sono mainframe in esecuzione MVS / TSO e RACF.