Risikovurdering for It-sikkerhet: Gratis Mal Og Steg-for-steg Veileder

Joanna Kwong
By: Joanna Kwong Cybersikkerhet | 7 desember

En risikovurdering gir deg en oversikt over hvilke trusler du kan stå ovenfor og hva de kan bety for din organisasjon. En risikoanalyse er en del av en risikovurdering, og begge er nødvendig for din organisasjon. I dette blogginnlegget presenterer vi hva risikovurdering og risikoanalyse er med gode eksempler, og gir deg en guide for hvordan du kan komme i gang med vårt helt egen mal som du kan laste ned gratis.

Hva er risikovurdering og risikoanalyse?

En risikovurdering er et nyttig verktøy for alle organisasjoner og bedrifter som ønsker å forutse hendelser og planlegge hvordan ulike trusler og risikoer kan minskes. En risikoanalyse er en del av hele risikovurderingen, hvor man identifiserer og analyserer mulige hendelser som kan ha en negativ effekt på individer, eiendeler eller hele organisasjonen.

Risikovurderinger gir altså deg en god oversikt over mulige trusler, hvor stor konsekvensene kan være og hvor godt forberedt din organisasjon er. Men viktigst av alt, er risikovurderinger noe som er med på å styre prioriteringen av implementering av nye tiltak og øvrige sikkerhetsaktiviteter.

I CyberPilot har vi utviklet en mal som vi bruker når vi hjelper våre kunder med å gjennomføre en risikovurdering for informasjonssikkerhet. Den kan du laste ned helt gratis her:

 

Smart CTA Risk NO

 

En risikovurdering byr på følgende for din organisasjon: 

  • Identifisering av sårbarheter

  • Holde oversikt over trusler, sårbarheter, tiltak m.m

  • Forbedring av prosesser og spesifikasjoner, som gir bedre planlegging

  • Dokumentasjon av forbedringer

Videre kan en risikovurdering hjelpe deg med å se nærmere på risikoer og trusler som finnes i teorien, og gi deg innsikt i hvor sannsynlig det er at disse inntreffer i virkeligheten. Risiskovurdering vil også være et steg på veien til å være compliant med GDPR som du kan lese mer om her.

På denne måten får du en bedre oversikt over hvordan du bør fordele ressursene dine for å håndtere de ulike risikoene. La oss se på to eksempler:

Eksempel risikoanalyse 1:

En storm treffer organisasjonens hovedkontor og gjør skader på alt av IT-utstyr.

Selv om dette er en risiko som kan inntreffe, og har en betydelig konsekvens, er det likevel usannsynlig at det skjer dersom der hvor rganisasjonen holder til ikke har noen historie med heftige storm. Dermed kan du bruke innsatsen på å tenke på løsninger for andre risikoer.

Konsekvens: HØY

Sannsynlighet: LAV

Eksempel risikoanalyse 2:

En av dine ansatte er på reise med IT-utsyr som eies av organisasjonen, og dette utstyret blir skadet på bagasjebåndet.

Selv om tap av IT-utstyret til én ansatt ikke er katastrofalt for organisasjonen, er det høyere sannsynlighet for at det skjer igjen dersom ansatte er regelmessig på reise. Kanskje er konsekvensene av å tape det spesifikke utstyret ikke bare verdien av den bærbare PCen eller mobilen, men også tap av verdifull data.

Konsekvens: MEDIUM

Sannsynlighet: MEDIUM

Vi anbefaler å bruke litt tid på å minske denne risikoen.

Til syvende og sist kan en risikovurdering være behjelpelig med å håndtere kriser, og ihvertfall me då være forberedt på dem.

Risikovurdering for informasjonssikkerhet

Når det gjelder informasjonssikkerhet kan vi starte med å se  mulige hendelser som kan ha en negativ betydning for organisasjonenNoen eksempler kan være at: 

 

Still deg selv følgende spørsmål: 

  • Hva betyr disse hendelsene for min organisasjon?

  • Hvilke ressurser og eiendeler ville gå tapt ved en av disse hendelsene, og hva trengs for å løse problemet?

  • Hva ville vi ha gjort dersom noe av dette skjedde akkurat nå?

I neste avsnitt byr vi på en guide som veileder deg gjennom vår gratis mal for risikovurdering. Bruk gjerne denne for å sette igang arbeidet med å lage en risikovurdering for din organisasjon.

Slik lager du en risikovurdering og risikoanalyse

Last ned malen gratis her, og følg med på guiden.

Snippet-from-template.jpg

Et utsnitt av malen vår
 

Step 1: Lag en skala for risikovurdering

Først  du lage en skala for risikovurderingen som fungerer som nivåer  risiko. I vår mal har vi laget denne skalaen med tre nivåersom du finner  første fane kalt “Skala” 

scale
Klikk for å forstørre

I malen kategoriserer vi risikonivåene som lav, middels eller høy. En måte å tenke på risikonivå er å se på hvor alvorlige konsekvensene kan være for organisasjonen. Nedenfor definerer vi hva hvert risikonivå kan bety i forhold til IT-systemer.

Lav risiko

  • Systemet lar seg enkelt gjenopprette

  • Systemet er for en ikke-kritisk tjeneste

Middels risiko 

  • Systemet er for en normal tjeneste

Høy risiko 

  • Systemet leverer en kritisk tjeneste for hele organisasjonen

I tillegg kan du benytte anledningen til å ta opp en diskusjon om hvor store ressurser organisasjonen din trenger for å håndtere de ulike risikoene dersom de inntreffer. Malen vår baserer seg på tids- og kostnadskonsekvenser, men du kan også for eksempel legge inn hvor mye tid det tar å løse et problem ifm. de ulike nivåene dersom de inntreffer.

Siden risikoer og konsekvenser varierer fra organisasjon til organisasjon, anbefaler vi på det sterkeste at du tilpasser denne delen basert på behovene til din organisasjon. For eksempel kan det at nettsiden deres kræsjer være en høy risiko dersom du jobber i en bedrift hvor inntekten genereres nærmest utelukkende på nettbutikken deres. Men dersom nettsiden til din organisasjon fungerer bare som en landingsside, uten særlig funksjonalitet eller betydning for den daglige driften, kan det være en lavere risiko fordi konskevensen også er lav.

Steg 2 - Skriv ned ressursene som skal risikoanalyseres

Fyll inn risikovurderingen

Vi har valgt å følgende kolonner i vår risikovurdering:

  • Ressurs

  • Beskrivelse

  • Avdeling

  • Trussel

  • Sårbarhet

  • Eksisterende tiltak

  • Konsekvens

  • Sannsynlighet

  • Forslag til sikkerhetsforbedrende tiltak

Ressurser

Når vi snakker om ressurser i denne sammenhengen, mener vi for det meste eiendeler og ressurser relatert til IT i din organisasjon. Det kan for eksempel være maskinvare som PC-er og mobiltelefoner. I tillegg kan det inkludere IT-tjenestene som brukes av organisasjonen, som for eksempel videomøtetjenester (Teams, Zoom, Slack o.l.) eller kunderettede tjenester som organisasjonens nettsider. Videre inkluderer vi også ansatte som en ressurs fordi de har stor innflytelse på informasjonssikkerheten i organisasjonen.

Tips: Ønsker du å lese mer om ansattes rolle i cybersikkerhet, kan du ta en titt på vår gratis e-bok om dette her.

Dersom dere har implementert ressursstyring (asset management), så kan du anske enkelt bruke det som utgangspunkt når du skal ramse opp alle ressursene i organisasjonen. Til å begynne med trenger du ikke å skrive ned absolutt alle ressurser og eiendeler, men kanskje de viktigste og mest brukte.

Beskrivelse 

Ganske selvforklarende egentlig, men denne kolonnen kan være viktigere enn du tror. Det er fordi den definerer hva du egentlig mener når du skriver ned en ressurs. Når vi for eksempel skriver ansatte som en ressurs, kan vi referer til både fulltids- og deltidsansatte. Så kan man I beskrivelsen redegjøre om hvem som eventuelt ikke er inkludert, som for eksempel eksterne konsulenter.

Smart CTA_e-book NO

Avdeling

Det er viktig å skrive ned hvilken avdeling som har ansvaret for hver enkel ressurs fordi det forbereder organisasjonen til krisehåndtering. Samtidig skaper det en bedre forståelse for hvem som har ansvaret for hva. Enda viktigere, hjelper dette organisasjonen med å reagere raskere på risikoer og trusler dersom de inntreffer.

Det er dog viktig å ikke henge seg for mye opp i denne kolonnen fordi hvem som har ansvaret for hva kan endre seg over tid. Vår beste anbefaling er å ha en generell forståelse for hvem som gjør hva, og være fleksibel når det kommer til å løse problemet.

Step 3 - Skriv ned trusler og sårbarheter

Trussel

En trussel er en mulig skade som kan påføres en ressurs, og som kan ha betydning for organisasjonen. Dersom du har opplevd sikkerhetsbrudd eller sikkerhetshendelser tidligere i organisasjonen, kan du skrive dem ned her. For eksempel kan løsepengevirus (ransomware) eller uatorisert tilgang til konfidenselle opplysninger regnes om en trussel. Etter at du har skrevet ned en trussel, skriver du også ned sårbarheten for denne i neste kolonne.

For eksempel er trusselen som løsepengevirus tilstede når ansatte bruker internett i forbindelse med jobben sin. De kan enkelt komme over en falsk nettside og på uviten få installert et løsepengevirus ved et uhell. Dette vil da låse tilgangen til organisasjonens filer og datamaskiner.

Sårbarhet

Sårbarheter kan forstås som grunnen til at trussler oppstår. Hvis vi går tilbake til eksemplet med løsepengevirus, kan sårbarheten være det at det finnes mange muligheter på internett for å få installert et løsepengevirus ved uhell. Når det kommer til uatorisert tilgang til konfidensielle opplysninger, kan det for eksempel være at en av dine ansatte glemmer å lukke noen vinduer på skjermen under et videomøte, og når hun deler skjerm med de andre i møtet, blir konfidensiell informasjon tilgjengelig for dem.

Denne kolonnen handler ikke om å skylde på noen, men mer om å tenke på teoretiske scenarioer og årsaker til hvorfor en trussel oppstår. Ved å forstå hvordan trusslene oppstår, kan vi 1) forstå hvor stor trusselen er, 2) vurdere sannsynligheten for at den inntreffer og 3) tenke på proaktive tiltak for å unngå dem.

Eksisterende tiltak

I denne kolonnen skriver du om dere har på plass eksisterende tiltak for å minske de enkelte risikoene. For eksempel, dersom dere tidligere har erfart tap av viktige filer og har implementert skylagring for sikkerhetskopiering, er det et eksisterende tiltak som du kan sette inn her.

Step 4 - Risikoevaluering

Konsekvens

Etter å ha identifisert truslene kan du på en bedre måte vurdere hvor stor konsekvense blir dersom en hendelse faktisk inntreffer for en spesifikt ressurs. Dette blir selvfølgelig en subjektiv vurdering, men du bør uansett diskutere det med dine kollegaer. Dere kommer til å se at det er ulike perspektiver på hva konsekvensene kan være. Kanskje vil markedsføringsavdelingen si at konsekvensen for det at nettsiden er nede er “HØY” fordi det stopper opp salget, mens IT-avdelingen vil mene at det ikke er så stort fordi det ikke påvirker den daglige driften. Det er viktig å få inn en rekke ulike perspektiver for å se helheten i det hele.

Sannsynlighet

Alle risikoer er ikke like. Noen kan ha sannsynlighet for å treffe flere ganger i måneden, mens andre muligens inntreffer med et par års mellomrom. Ved å vurdere sannsynligheten for at en trussel inntreffer, kan du forstå hvordan dere bør prioritere den – og kanskje utelate noen til senere.

Forslag til sikkerhetsforbedrende tiltak

Etter at du har fylt ut de andre kolonnene, har du allerede fått en bedre forståelse for de ulike risikoene som dreier seg om dine ressurser. Ut i fra disse kan du nå bruke denne kolonnen til å skrive ned forslag til å øke sikkerheten for disse ressursene.

Da har du en risikovurdering med risikoanalyse og risikoevaluering.

Når du har fylt ut alle kolonnene med ressursene og trusslene du kan komme på, er du allerede godt i gang for å holde god oversikt over risikoen dere står ovenfor. Risikovurderingen viser hvilke trusler som har større sannsynlighet for å inntreffe, og hva som er konsekvensene av disse dersom de inntreffer. Du bør ha dette dokumentet lett tilgjengelig og holde det opdatert.

Vi håper at dette innlegget har hjulpet deg med å forstå hva en risikovurdering og risikoanalyse er, og hvordan dere kan lage en selv. Vi bruker faktisk denne malen for å hjelpe mange organisasjoner som ønsker å ha en bedre forståelse av risikoene de står ovenfor når det gjelder informasjonssikerhet og sikkerheten til sine resssurser.

Dersom det er noe du lurer på eller trenger hjelp med ifm. risikovurderingen i din organisasjon, kan vi gjerne ta en prat om det.  Last ned vår gratis mal her og kontakt oss gjerne på info@cyberpilot.io.