Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav.
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).
Og det er her, fejlen ligger. Risikovurdering er ikke et projekt, der bare kan lukkes ned efter afslutning. Det er en løbende proces.
Hvorfor? Her er 3 gode grunde til, at risikovurdering er en proces og ikke et projekt:
- Din virksomhed er i konstant forandring, og det samme er verden omkring den - også trusler og sårbarheder
- Når du har vurderet risici, skal du behandle dem. Risikobehandling må aldrig stoppe - og heller ikke risikovurdering
- Informationssikkerheden skal forbedres hele tiden. Det samme gælder risikostyringen
Pointen er, at det ikke dur at stå stille. Du skal vurdere risici med jævne mellemrum, fordi det giver mening for din virksomhed. Tænk på det sådan her: Hvor meget er dit ledelsessystem til informationssikkerhed værd, hvis det ikke afspejler de uundgåelige forandringer din virksomhed og verden omkring den er udsat for?
De gode nyheder
Selv om "risikovurdering" lyder som en kedelig og tidskrævende opgave, behøver den faktisk ikke være så omfangsrig, at den afholder dig fra at risikovurdere med jævne mellemrum.
Du kan tage nogle genveje, som vil spare dig for værdifuld tid, når du udfører dine risikovurderinger:
Ikke alle aktiver
Start med kun at udvælge dine vigtigste forretningsprocesser. Ikke alle aktiver - og slet ikke alt med et ip-nummer. Du kan altid udvide scopet senere.
Ikke alle trusler
Undgå at dit trusselskatalog vokser sig stort og uoverskueligt. Opdel dine aktiver i typer og identificér hvilke trusler, der er relevante for de forskellige typer af aktiv.
Op- og nedarvning af risiko
Identificér afhængigheder mellem dine aktiver. Så behøver du færre forretningskonsekvens- og sårbarhedsvurderinger.
Først overordnede vurderinger
Det giver god mening at starte med at lave overordnede risikovurderinger. Senere vil du have mere tid til at gå i detaljen med vurderingerne af dine aktiver.