Gratis Skabelon Til At Lave Risikovurderinger | Trin-For-Trin Guide

Joanna Kwong
By: Joanna Kwong IT-sikkerhed | 2 december

I dette blogindlæg forklarer vi, hvad en risikovurdering er, og hvorfor den er relevant for din virksomheds IT-sikkerhed. Derudover guider vi dig igennem, hvordan du laver en risikovurdering med vores gratis skabelon

Risk

Bemærk, at vores skabelon og denne blogpost fokuserer på at vurdere forretningsrisici. Hvis du laver en GDPR-risikovurdering, bør du se risikoen fra den registreredes synspunkt. EU har en skabelon og vejledning, som du kan bruge til at foretage en konsekvensanalyse af databeskyttelse i forbindelse med GDPR.

Risikovurderinger er et værktøj, der kan hjælpe alle virksomheder, der ønsker at komme sikkerhedshændelser i forkøbet og planlægge, hvordan risici kan mindskes. En risikovurdering handler om at identificere og analysere potentielle hændelser, der kan påvirke enkeltpersoner, aktiver eller virksomheden negativt.

Vi bruger risikovurderinger til at vurdere, hvor stor sandsynligheden og konsekvenserne for en given situation er. Det sikrer, at vi kan lave tiltag, inden det sker. Derudover gør risikovurderingen det muligt for os at prioritere vores sikkerhedsaktiviteter.

Du kan gratis downloade vores skabelon til at lave risikovurderinger her: 

Risk

Du kan også lytte til vores podcastepisode om risikovurderinger:

 

Hvad en risikovurdering indeholder

En risikovurdering giver din virksomhed følgende:

  • Identifikation af sårbarheder

  • Et godt overblik

  • Fastlæggelse af bedre processer og krav, som forbedrer planlægningen

  • Dokumentation til due diligence

Den kan også hjælpe med at tage teoretiske risici og sætte dem i en kontekst, hvor man kan forstå sandsynligheden for, at de sker i virkeligheden.

På den måde kan du bedre vurdere, hvordan du skal placere ressourcer for at forhindre dem. Vi giver dig to eksempler nedenfor.

Risiko 1: En tornado rammer din virksomhed

En tornado rammer virksomhedens hovedkvarter og beskadiger alt it-udstyr.

Selvom dette er en risiko, der kan ske og have store negative konsekvenser, så er det usandsynligt, at det vil ske, hvis dit område ikke har nogen fortid med tornadoer. Derfor kan du bruge dine kræfter på at finde løsninger på andre risici.

Konsekvens: Høj
Sandsynlighed: Lav

Risiko 2: Beskadiget computer på rejse

En medarbejdere er på forretningsrejse. Medarbejderens arbejdscomputer bliver beskadiget på bagagebåndet.

Selvom det ikke er katastrofalt for virksomheden at miste it-udstyr fra én enkelt medarbejder, så er det mere sandsynligt end tornadoen. Det kan blive et problem, hvis mange medarbejdere rejser regelmæssigt. Derudover er konsekvensen for at miste det specifikke udstyr måske ikke kun omkostningerne ved den bærbare computer, smartphone osv., men også et potentielt tab af data.

Konsekvens: Medium
Sandsynlighed: Medium

Vi foreslår, at du bruger lidt tid på at mindske denne risiko.

I sidste ende kan risikovurderinger hjælpe dig med at klare enhver storm, eller i det mindste gøre dig bedre forberedt på den.

Risikovurdering for informationssikkerhed

Når det kommer til IT-sikkerhed kan vi starte med at pege på et par eksempler af potentielle hændelser, der kunne have negativ effekt på din virksomhed:

  • Hjemmeside går ned

  • IT-udstyr bliver beskadiget

  • GDPR overtrædes

  • Tab af immaterielle aktiver

 

Du kan spørge dig selv:

  • Hvad betyder disse hændelser for min virksomhed?

  • Hvilke ressourcer og aktiver ville jeg miste i tilfælde af hændelserne – og hvis jeg ikke forsøger at løse dem?

  • Hvad ville jeg gøre, hvis det skete lige nu?

 

I næste den sektion vil vi gå gennem vores skabelon til at lave en risikovurdering.

Hvis du hellere vil lytte til en gennemgang af, hvordan man laver en risikovurdering, kan du høre denne episode af vores podcast:

 

Sådan laver du en risikovurdering og risikoanalyse

Du kan hente vores skabelon her og følge med i guiden.

risikoanalyse-dk-1

 

Trin 1: Opret en skala for jeres risikovurderings matrix

Først fastlægger vi de skalaer, vi bruger til vores risikovurdering. I skabelonen skal du være på den første fane.

image-9

I skabelonen kategoriserer vi risikoniveauerne som lave, mellem eller høje. En måde at tænke risikoniveau på er, hvor alvorlige konsekvenserne kan være for din virksomhed. Nedenfor definerer vi, hvad hvert risikoniveau kan betyde med hensyn til it-systemer.

Lav risiko

  • Systemet kan nemt genoprettes

  • Systemet leverer en ikke-kritisk tjeneste

Mellem risiko

  • Systemet leverer en normal tjeneste

Høj risiko

  • Systemet leverer en kritisk tjeneste for hele virksomheden

Derudover kan du også benytte lejligheden til at tale med din virksomhed om, hvor mange ressourcer der skal bruges til at løse disse problemer, hvis de nogensinde opstår. Vores skabelon giver dig mulighed for at udfylde de økonomiske konsekvenser, men du kan også tænke på, hvor lang tid der skal bruges på at løse problemet.

Da risici og konsekvenser er forskellige fra virksomhed til virksomhed, anbefaler vi stærkt, at du tilpasser dette afsnit efter dine behov. Hvis du eksempelvis er en del af en virksomhed, hvis indtægter udelukkende stammer fra webshoppen på hjemmesiden, anses nedbrud af hjemmesiden for at være en meget høj risiko med stor konsekvens. Hvis din hjemmeside derimod fungerer som en landingpage uden stor funktionalitet eller effekt på din daglige drift, så er nedbrud af hjemmesiden en lavere risiko, da konsekvenserne er lavere.

Risk Chart

Trin 2: List alle jeres aktiver

Udfyld risikovurderingen

For at lave risikovurderingen skal der udfyldes følgende kolonner:

  • Aktiver

  • Kort beskrivelse

  • Ejer

  • Trussel

  • Sårbarhed

  • Udførte tiltag

  • Konsekvens

  • Sandsynlighed

  • Forslag til øget kontrol/sikkerhed

Aktiver

Når vi taler om aktiver i denne sammenhæng, mener vi hovedsageligt aktiver relateret til IT i din virksomhed. Det kan omfatte hardware, såsom bærbare computere og mobile enheder. Derudover kan det omfatte de IT-tjenester, I bruger i din virksomhed, såsom interne kommunikationssystemer (f.eks. Microsoft Teams of Slack) eller kundeorienterede tjenester som virksomhedens hjemmeside. Udover IT-aktiver har vi inkluderet medarbejdere som et aktiv, da de har stor indflydelse på jeres IT-sikkerhed. Vi skriver om dette i vores e-bog, hvis du vil læse mere.

Hvis I gør brug af asset-management, kan I bruge dette dokument som reference. Man behøver ikke at angive alle aktiver, men man kan vælge at starte med at fokusere på de vigtigste eller mest almindeligt anvendte.

Kort beskrivelse af aktiver

Denne kolonne bruges til at beskrive, hvad der menes med det aktiv, der er angivet. Nogle gange er aktiverne selvforklarende, og andre gange kræver de uddybning eller yderligere definition. Når vi f.eks. angiver medarbejdere som et aktiv, kan vi definere dem som både fuldtids- og deltidsansatte. Du kan også definere, hvem der ikke er omfattet, f.eks. konsulenter, der fungerer som eksterne rådgivere for virksomheden, men som ikke officielt er en del af virksomheden.

Afdeling

Definering af hvilken ejeren af aktivet er vigtig, da den forbereder virksomheden på, hvem der er ansvarlig, hvis problemer skal løses. Til at starte med kan det give dig en bedre forståelse eller en genopfriskning af hver afdelings eller underafdelings ansvar. Derudover hjælper det virksomheden med at reagere hurtigere, når der er en risiko.
Vi anbefaler dog ikke at bruge for meget tid på denne kolonne, da ejeransvar nemt kan overlappe mellem afdelinger og ændre sig over tid. Vi anbefaler, at du får en generel forståelse og er fleksibel, når problemet skal løses.

 Studerende sidder på bøger og prøver kurser gratis

Trin 3 - Lav liste over trusler og sårbarheder

Trussel

Truslen er en potentiel skade, der kan ske på et aktiv, og som kan påvirke virksomheden negativt. Hvis der tidligere har været sikkerhedsbrud eller hændelser, kan du angive dem i denne kolonne. For eksempel kan ransomware eller uautoriseret adgang til fortrolige data betragtes som en trussel.

Truslen ransomware er f.eks. tilstede, når personalet surfer på hjemmesider på deres arbejde. De kan ved et uheld falde over en falsk hjemmeside og ved et uheld installere ransomware, der låser adgang til virksomhedens filer og computer, indtil de betaler de cyberkriminelle personer bag.

Sårbarhed

Sårbarheder kan beskrives som årsagen til truslerne. Når det kommer til ransomware, kunne det for eksempel være, at personalet kunne være faldet over en falsk hjemmeside ved et uheld og ved fejlagtigt installeret ransomware. Når det kommer til uautoriseret adgang til fortrolige data, kan det være, at nogen har glemt at lukke visse vinduer under et videoopkald og ved et uheld har vist kunden intern kommunikation eller andet fortrolig data.

Dette afsnit er ikke beregnet til at give bestemte personer skylden, men snarere tænke på teoretiske scenarier og årsagerne til, at en trussel kan opstå. Ved at forstå, hvordan truslerne opstår, kan vi

  1. forstå, hvor stor truslen er,
  2. sandsynligheden for, at den sker, og
  3. tænke på måder at undgå dem proaktivt

Udførte tiltag

I dette afsnit skriver du, om I allerede har gjort noget for at imødekomme denne risiko. Hvis du for eksempel har oplevet at miste vigtige filer før og har prøvet at afhjælpe det ved hjælp af en cloud-løsning til sikkerhedskopiering, er det en udført handling.

Trin 4: Vurdér risici

Konsekvens

Efter at have noteret truslerne og oplysninger om dem, kan du bedre vurdere, hvor store konsekvenserne er i tilfælde af, at disse trusler skulle opstå i virkeligheden. Det er naturligvis en subjektiv vurdering, så det er en god ide at drøfte den med kolleger. Ofte vil man opleve, at der kan være forskellige perspektiver på konsekvenserne. Måske vil marketingafdelingen sætte en “HØJ” konsekvens på noget, der sker på virksomhedens hjemmeside, da det kan påvirke salget, hvor IT-afdelingen sandsynligvis ikke vil se det på samme måde, da det ikke ville påvirke virksomhedens daglige drift. Derfor er det vigtigt at få en masse forskellige perspektiver.

Sandsynlighed

Ikke alle risici er skabt lige. Nogle situationer kan sandsynligvis ske et par gange om måneden, mens andre måske kun sker en gang hvert andet år. Ved at vurdere sandsynligheden for trusler, kan du forstå, hvordan du skal prioritere dem, og måske udelade nogle, som ikke er realistiske.

Forslag til øget kontrol/sikkerhed

Efter at have udfyldt de andre afsnit, vil du have fået en bedre forståelse af hvert aktiv og de risici, der er forbundet med dem. Herfra kan du bruge dette afsnit til at skrive forslag til øget kontrol/sikkerhed. Disse forslag giver mening at føre ud i praksis, hvis konsekvensen og risikoen tilsammen er høj ved et given aktiv.

Din risikovurdering er udfyldt!

Når alle afsnit er udfyldt med de aktiver og trusler, som du kan komme i tanke om, vil du have et bedre overblik over risiciene. Ud fra risikovurderingen kan du se, hvilke trusler der er mest sandsynlige, og hvilke konsekvenser de kan have, hvis de opstår. Vi anbefaler, at man genbesøger sin risikovurdering, da trusler og sårbarheder udvikler sig løbende.

Vi håber, at dette blogindlæg har hjulpet dig med at forstå, hvad en risikovurdering er, og hvordan man selv laver en.

Hvis du gerne vil lære om, hvordan du sikrer, at din virksomhed overholder GDPR, så kan du læse om det her.

 

Smart CTA_e-book DK

Ofte stillede spørgsmål

Hvad er en risikovurdering?

En risikovurdering er en proces, hvor man identificerer og analyserer potentielle risici og farer i en given situation eller aktivitet. I cybersikkerhed og IT-sikkerhed bruges risikovurderinger til at identificere og evaluere potentielle trusler mod informationssikkerheden, udvikle passende sikkerhedsløsninger og -strategier til at minimere risiko og danner grundlag for nye sikkerhedsforanstaltninger.

Hvad indeholder en risikovurdering?

Risikovurderingen indeholder en gennemgang af potentielle trusler og sårbarheder i en organisation, samt en vurdering af sandsynligheden for, at disse trusler vil indtræffe og den potentielle skade, de kan forårsage. Risikovurderingen kan også omfatte en evaluering af eksisterende foranstaltninger og anbefalinger til at mindske risikoen for sikkerhedsbrud via nye forebyggende foranstaltninger. 

Hvilke trin er der i en risikovurdering?

En typisk risikovurdering involverer fire trin: Identificering af trusler, vurdering af sårbarheder, estimering af risiko og implementering af risikohåndteringsforanstaltninger. Identifikation af trusler indebærer at identificere mulige trusler, mens vurdering af sårbarheder indebærer en vurdering af eksisterende sikkerhedsniveauer. Estimering af risiko indebærer at evaluere sandsynligheden for en trussel og dens potentielle konsekvenser. Implementering af risikohåndteringsforanstaltninger er handlinger, der minimerer risici.