Det er efterhånden blevet god praksis at lave risikovurderinger - eller i hvert fald erkende, at man bør lave dem.
Alt for ofte ser vi desværre, at virksomheder bare udfører risikovurderinger for at efterkomme et eller andet compliance-krav (revision, kontrakt, lovgivning m.v.). Hvis man er heldig, får man endda ressourcer til at gennemføre dem en gang om året.
Man gennemfører sin risikovurdering, taler med sin organisation og laver en fin rapport til sidst. Og så er "projektet" afsluttet. Men det er en fejl at se risikovurdering som et projekt. Risikovurdering skal være en proces. En proces der er tilbagevendende og kontinuerligt justeret.
I ISO27001-standarden er risikovurdering en dynamo for sikkerhedsarbejdet
» Det er vores risikovurdering, der er udgangspunktet og den trækker tråde ud i hele vores compliance platform
» Det er vores risikohåndteringsplan, vi skal anvende til at udvælge de rigtige sikkerhedsforanstaltninger i vores virksomhed
» Det er vores risikovurdering, der er med til at sikre ledelsesforankring og identificere forretningens krav
Og hvordan gør vi så det?
- Helt konkret skal man, som en del af risikovurderingen, gøre følgende:
Fastlægge "risk acceptance criteria", eller risikoappetit - altså hvor meget risiko er vi villig til at acceptere før vi skal handle - Beslutte kriterier for hvornår vi skal risikovurdere, f.eks. når vi får nye systemer eller ændrer i infrastrukturen - med andre ord er det en dynamisk proces, og ikke bare noget vi skal gøre én gang årligt
- Evaluere vores resultater - ligger vores risici over eller under vores risikoappetit?
- Håndtere vores risici - når vi har fundet nogle risici der ligger ud over vores risikoappetit, så skal vi gøre noget ved det!
Håndtering af risici
- Vi definerer hvad vi vil gøre ved risikoen
- Reducér risikoen - flere sikkerhedstiltag, større sikkerhed, nye regler
- Eliminér risikoen - vi nedlægger systemet eller processen der resulterer i risikoen
- Overfør risikoen - forsikring ift. risikoen, outsourcing til tredjepart
- Acceptér risikoen - det er for dyrt at gøre noget ved risikoen, så ledelsen accepterer den
- Vi etablerer handlingsplaner for de risici, vi har besluttet at gøre noget ved
- Hvad skal der gøres (se pkt. 1)?
- Hvem er ansvarlig?
- Hvornår er deadline?
- Hvor høj er prioriteten?
- Vi følger op på handlingsplanerne
- Har de ansvarlige lavet deres arbejde?
- Hvor kan vi se resultatet?
- Vi følger op på vores risici
- Opdatering af risikovurdering der hvor vi har gennemført handlingsplaner
- Er risiko forøget?
- Er risiko dalet?
- Kan vi stadig acceptere de risici vi har accepteret?
Risikohåndteringen kan blandt andet også stille krav til, hvordan vi implementerer:
- Beredskabsplaner
- Awareness
- Intern audit
- Metrikker
- Håndtering af sikkerhedshændelser
Afslutningsvis vil jeg huske jer på, at risikovurdering ikke er noget I skal lave for jeres revisors skyld, det er noget I skal lave for jeres egen skyld. For det er et utroligt vigtigt og stærkt værktøj til at implementere jeres informationssikkerhed med. Så brug det!
Øvrige ressourcer
Et af de styrende elementer i ISO 27001 er kravet om, at informationssikkerheden baseres på de reelle risici, organisationer er udsat for. Samlet set kaldes denne aktivitet for risikostyring. Vores 8-siders vejledning til risikostyring er udarbejdet med udgangspunkt i standarden for Risk Management, ISO 27005. Du kan hente den her.