Risikovurdering og risikoanalyse – vigtige definitioner

Metode: ACI anvender anbefalingerne i ISO31000 som er en generisk standard med principper og retningslinjer for risikoanalyse. ISO31000 Risikostyrings rammeværket stemmer grundlæggende helt overens med kravene i ISO27005 som dækker risikovurderinger for informationssystemer. Baseret på ISO31000 og ISO27005 gives der detaljerede retningslinjer for hvordan man udfører risikovurderinger og risikobehandling.

Forretningsmæssige mål: Enhver virksomhed har nogle forretningsmæssige mål som man søger at opnå. En risikovurdering er med til at understøtte opnåelsen af de forretningsmæssige mål. De initiativer som igangsættes baseret på risikovurderingen kan medvirke til helt konkret at forbedre kvalitetsniveauet af den service eller de produkter som virksomheden leverer til deres kunder og/eller medarbejdere. Derfor er en risikovurdering ofte en god forretning.

Prioritering: Risikovurderinger danner grundlag for at prioritere de resurser der skal bruges på sikkerheden. Risikovurderingen hjælper til konkret at kunne måle risici (trusler og sårbarheder) i forhold til hinanden og derved anvende sine resurser på det der betyder mest og/eller anvende sine resurser dér hvor de største sikkerhedshuller er. Risikoanalysens scenarier, udtrykt på en ikketeknisk måde der forstås af alle i forretningen, danner grundlag for at den forretningsmæssige værdi kan vurderes af it-systemer og processer uden at skulle have en teknisk sikkerhedsmæssig indsigt. Normalisering af metoden for risikoanalyserne i en virksomhed, vil sørge for at risiko kan sammenlignes på tværs af organisationen. Hvis alle domænerne fx It, Facility, Økonomi, Produktion etc. måles efter samme principper (fx samme sandsynlighedsskala og konsekvensskala), kan alle organisationens risici prioriteres i forhold til hinanden.

Risikoappetit: Risikoappetit defineres som det niveau af risiko som organisationen er villig til at acceptere for at opnå de overordnede mål og krav. Her afvejer man fordelene ved fx. at være innovativ og dynamisk, mod at have det nødvendige sikkerhedsniveau. Man vil typisk forvente en rimelig høj sikkerhed for systemer, processer og informationers tilgængelighed, integritet og fortrolighed. Men omvendt vil virksomhederne ikke implementere et sikkerhedsniveau, som i for høj grad reducerer fleksibiliteten og brugervenligheden i de tilbudte services for medarbejdere og kunder. Definition af risikoappetit er nødvendig for at evaluere risikoanalysens resultater.

AKTIVITETERNE I UDARBEJDELSE AF RISIKOVURDERING

Identifikation af risiko: Som start på en risikovurdering skal en gennemgang af forretningshierarkiet hjælpe med at identificere områder og scope for risikoanalysen. Dernæst skal der udføres risikovurderingens trussels og sårbarhedsanalyse som munder ud i en identifikation af aktiver og scenarier. Risikoanalysens scenarierne inkluderer: et aktiv, beskrivelse af en hændelse og hændelsens evt. negative konsekvenser. Risikoanalysens scenarierne skal dannes sådan at repræsentanter for forretningen nemt og hurtigt forstår problematikken og derefter kan gennemføre risikoanalysens vurderinger af den forretningsmæssige konsekvens hvis scenariet indtræffer

Vurdering af risiko: For hvert scenarie i en risikoanalyse skal den forretningsmæssige konsekvens vurderes af repræsentanter fra forretningen. Sandsynligheden for at scenarierne i risikoanalysen indtræffer skal vurderes af personer som kender til det aktuelle sikringsmiljø og historiske hændelser for området. Risikoanalysens vurdering af sandsynlighed er baseret på det eksisterende miljø af sikkerhedskontroller og de historiske hændelser i virksomheden.

Evaluering af risiko: På baggrund af risikoanalysens sandsynligheds- og konsekvens-vurderingen (fx vurderet antal hændelser pr. år, gange med vurderet økonomisk tab ved hændelse), får man et risikotal udtrykt som et potentielt tab pr. år for hvert enkelt risikoscenarie. Risikoanalysens scenarierne sammenlignes nu med hinanden og man udarbejder et risikoregister, fx med den største risiko øverst og ned til den laveste risiko nederst. Det er nu ledelsens beslutning om man skal acceptere risikovurderingens største identificerede risici. For at give ledelsen et bedre evalueringsgrundlag, kan der evt. udarbejdes en overordnet mitigeringsplan for de største risici i risikovurderingen, som giver et overslag over omkostningerne ved nedbringelse samt en vurdering af effekten for disse tiltag. Typisk vil risikovurderingen resultere i at man tager et nærmere bestemt antal risici fra toppen af risikoregistret og beordre dem nedbragt.

Mitigering af risiko: For de risici i risikovurderingen som ledelsen har beordret nedbragt skal der udarbejdes en mitigeringsplan. For at lette ledelsens vil det være hensigtsmæssigt først at udarbejde en overordnet mitigeringsplan som viser hvor der opnås den største risikonedbringelse i forhold til krævede resurser, med henblik på at give ledelsen et bedre grundlag for at beslutte hvilke risici som skal nedbringes.

Normalisering af konsekvens og sandsynlighed. For at risikovurderinger kan sammenlignes på tværs i organisationen bør forretningskonsekvensen og sandsynligheden være baseret på en ensartet skala.

 

Risikoanalysens sandsynlighed kan vurderes efter en ensartet skala, fx som estimerede antal hændelser pr. år. Risikoanalysens forretningsmæssige konsekvens kan vurderes efter en ensartet skala, som fx tab i kroner i tilfælde af scenarie. Normalisering af risikoanalysen gør det nemt for deltagere at vurdere scenarierne og nemt at sammenligne risici fra forskellige områder.

 

Dette kan fx være efter en skala som beskrevet nedenfor.