Hur Man Skriver En Riskanalys – Med En Gratis Mall Och Guide

Joanna Kwong
By: Joanna Kwong Cybersäkerhet | 7 december

I det här blogginlägget går vi igenom vad riskanalys är för något, varför det är relevant för din organisation, och vi ger dig en kom-igång-guide som du kan använda till vår egen mall.

Det är viktigt att ha en riskanalys

Många organisationer använder sig av riskanalyser, som ett verktyg, för att kunna förutse incidenter och som planläggning för hur man kan minska riskerna. Det handlar alltså om att identifiera och analysera potentiella händelser som negativt kan påverka individer, tillgångar eller organisationen. Vi använder oss av riskanalyser för att kunna bedöma risktolerans, som gör att vi bättre kan förstå risken. Men, viktigast av allt, med en riskanalys får vi möjlighet till att prioritera våra aktiviteter inom säkerhet.

Hos CyberPilot använder vi oss av denna mall för att hjälpa organisationer att genomföra en riskanalys för informationssäkerhet. Den är gratis och du kan hämta den här.

Smart CTA Risk SE

En riskanalys kan hjälpa din organisation på följande sätt:

  • Identifiera sårbarheter

  • Ge en tydlig överblick

  • Underlag för beslut om förbättrings processer och krav, vilket förenklar planeringen

  • Dokumenterad företagsbesiktning

Den kan också koppla ihop teoretiska risker, för att få en bild av hur sannolikt det är att de skulle hända i verkliga livet.

På så sätt kan du få en bättre förståelse för hur du kan fördelar resurser, för att förhindra riskerna. Vi ger dig två exempel på detta här under.

Risk 1:

En tornado träffar företagets huvudkontor och skadar all IT-utrustning.

Även om det är en verklig risk, som kan hända och den skulle få en stor negativ inverkan, är det mycket osannolikt att det händer om ditt närområde inte har någon tidigare historia av tornados. Därför kan du fokusera på andra risker istället.

Konsekvens: HÖG

Sannolikhet: LÅG

Risk 2:

En medarbetare reser med en av företagets datorer och den skadas på bagagekarusellen.

Även om det inte är katastrofalt för företaget att förlora en anställds IT-utrustning, är denna risk mer trolig att uppstå mer regelbundet. Kanske blir konsekvensen för företaget mer än bara kostnaden för den förstörda datorn, en förstörd dator kan också leda till dataförlust.

Konsekvens: MEDEL

Sannolikhet: MEDEL

Vi föreslår att du spenderar lite tid på att pröva att dämpa en sån här typ av risk.

Målet med riskanalyser är att de ska hjälpa dig att klara olika typer av osäkerheter, eller åtminstone vara bättre förberedd på dem.

Riskanalys för informationssäkerhet

För att göra en riskanalys för informationssäkerhet, börjar vi med att titta på potentiella händelser, som vill ha en negativ inverkan på din organisation. Några exempel kan vara:

  • Webbplatsen kraschar

  • IT-utrustning skadas

  • Brott mot GDPR

  • Förlust av immateriella rättigheter

 

Frågor du kan besvara:

  • Vad skulle dessa händelser betyda för mitt företag?

  • Vilka resurser och tillgångar skulle vi förlora vid en sådan händelse och när försöker vi att lösa sådana problem?

  • Vad skulle vi göra om något av det hände just nu?

I nästa del diskuterar vi hur du skapar din egen riskanalys med vår kostnadsfria mall.

Så skapar du en riskanalys

Du kan ladda ner vår mall här och följa med i alla steg.

Risk-analysis-SE

Steg 1:

Skapa en skala för riskbedömningsmatrisen

Första steget är att bestämma de skalor som du använder under riskbedömningen. I vår mall hittar du den under den första fliken.

 Risk skala SE

I mallen kategoriserar vi risknivåerna som låg, medium eller hög. Man kan se på de olika risknivåerna efter hur allvarliga konsekvenser det skulle bli om risken blev verklighet.

Under definierar vi vad varje risknivå kan betyda för ett IT-system.

Låg risk 

  • Systemet kan återställas enkelt

  • Systemet levererar en icke-kritisk tjänst

Medium risk

  • Systemet levererar en normal tjänst

Hög risk

  • Systemet levererar en kritisk tjänst för hela organisationen

Dessutom kan du passa på att ta tillfället i akt att diskutera med dina kollegor om vad för typ av resursers som krävs för att åtgärda de risker som identifieras. I vår mall kan du fylla i de konsekvenserna, och här är det relevant att både tänka över de ekonomiska konsekvenser men också hur mycket tid som krävs för att lösa problemet.

Eftersom risker och konsekvenser ser olika ut från organisation till organisation, rekommenderar vi att du anpassar detta avsnitt efter ert behov. Exempelvis, om du arbetar på ett företag vars intäkter enbart kommer från er e-butik, ses en krasch av webbplatsen som en mycket hög risk. Men om webbplatsen däremot fungerar som en hemsida utan mycket funktionalitet eller påverkan på din dagliga verksamhet, så är en krasch av webbplatsen en lägre risk eftersom konsekvenserna är lägre.

Steg 2 - börja med att lista era tillgångar

Fyll i riskbedömningen

För att slutföra riskbedömningen, har vi skapat de olika kolumner:

  • Tillgång

  • Kort beskrivning

  • Avdelning

  • Hot

  • Sårbarhet

  • Vidtagna åtgärder

  • Konsekvens

  • Sannolikhet

  • Förslag för ökad säkerhet

Tillgång

I detta sammanhang, syftar tillgångar på det som relateras till IT i din organisation. Det inkluderar hårdvara (datorer och mobiler), IT-tjänster för intern kommunikation som t.ex. Microsoft Teams eller Slack, det kan också inkludera de plattformar som kunden ser t.ex. er hemsida. Utöver IT, räknar vi också med personal som en tillgång, eftersom de har stor påverkan på en organisations säkerhet. Vi resonerar mer kring det i vår e-bok om du vill läsa mer om hur personal påverkar IT-säkerheten.

Till sist, om er organisation använder sig av Asset Management, kan man använda det dokumentet som referens. Du behöver inte ta med alla de tillgångarna i din riskanalys, utan du väljer ut de viktigaste systemen och de som används mest.

Kort beskrivning

Även om denna del kan verka självförklarande, är kolumnen användbar till att definiera vad som menas med de tillgångar man har skrivit. Till exempel har vi skrivit personal som en tillgång, och definierat det som hel- och deltidsanställda. Här kan man också skriva vem eller vad som inte ingår, t.ex. konsulter, som fungerar som externa rådgivare till organisationen men inte officiellt ingår.

Smart CTA_e-book SE

Avdelning

Det är fördelaktigt att avgränsa vilken avdelning som är ansvarig för de potentiella problem som kan uppstå. Dels får man en tydlig överblick över vilken avdelning som är ansvarig för vad, men det hjälper också er organisation att reagera snabbare när en risk blir till verklighet.

Men det är inte i denna kolumn du ska spendera all din energi, eftersom risker lätt kan överlappa mellan avdelningar och förändras över tid. Här är det rekommenderat att ni får en mer allmän förståelse, och är flexibla när problem ska lösas.

Steg 3 - identifiera hot och sårbarheter

Hot

Ett hot kan vara den skada som görs på en tillgång, som påverkar organisationen. Om det tidigare har förekommit säkerhetsintrång eller incidenter, kan de noteras ned här. Det kan exempelvis vara ransomware (skadlig kod) eller att obehöriga fått åtkomst till konfidentiell information.

Efter att de identifierade hot har noterats, diskuteras sårbarheter som är kopplade till hoten. Ransomware-hot blir aktuellt när personal surfar på webbplatser, där de av misstag kan komma in på en falsk webbplats och av okunskap råka installera ransomware som låser all åtkomst till organisationers filer och datorer.

Sårbarhet

Sårbarheter är orsaken till varför hoten inträffar. När det kommer till ransomware, kan det bero på en ouppmärksam medarbetare. Att obehöriga får tillgång till konfidentiell data kan ske om någon har glömt att stänga ett fönster under ett videomöte, och av misstag visat en kund en intern kommunikation.

Här är det inte meningen att du beskylla någon, utan att du snarare fundera över de teoretiska scenarier och anledningar till varför ett hot uppstår.
Genom att förstå hur hot sker, kan vi 1) få en bild av hur stort hotet är, 2) hur sannolikt hotet är och 3) bestämma hur man arbetar för att undvika dem. Att förstå och undvika hot som dessa är också ett bra sätt att se till att du efterlever GDPR. 

Vidtagna åtgärder

Här antecknar du, hur ni för närvarande arbetar för att minska risken. Ett exempel på vidtagen åtgärd, är om er organisation sedan tidigare har erfarenhet av att förlora viktiga filer och att det därför har tillämpats molnlagring för säkerhetskopiering.

Steg 4 - utvärdera risker

Konsekvens

Efter att ha definierat hoten, kan du bättre bedöma hur stor konsekvens det skulle bli för den tillgång som är kopplad till just det hotet. Det är en subjektiv bedömning, men om det diskuteras mellan flera kollegor kommer ni upptäcka flera olika perspektiv. Till exempel, om det skulle hända något med organisationens hemsida, vill kanske marknadsavdelningen sätta en “HÖG” konsekvens, medans IT-avdelningen sätter en “LÅG”, eftersom det inte påverkar deras dagliga arbete.

Sannolikhet

Alla risker är inte skapade lika. Vissa kan förmodligen hända några gånger i månaden, medans andra bara kan hända en gång per år. Genom att bedöma sannolikheten för varje risk, får du inblick för hur du kan prioritera dem. Vissa risker, som inte är realistiska, kan till och med lämnas åt sidan.

Förslag för ökad säkerhet

Efter att ha fyllt i de andra kolumner i mallen, har du skapat dig en tydlig överblick över varje tillgång och de risker som är knutna till dem. Utifrån denna överblick kan du använda denna kolumn till att lista förslag på hur man minskar risken, och därmed ökar säkerheten.

Din riskbedömning är klar!

När varje kolumn är ifyllt med de tillgångar och hot du kan komma på, får du en bättre överblick över riskerna. Genom riskanalysen kommer du kunna förstå vilka hot som är mer verklig än andra. Men kom ihåg att behålla dokumentet nära till hands och se till att det är uppdaterat.

Vi hoppas att det här inlägget har hjälpt dig att förstå vad en riskanalys är, och hur du genomför din egen. Vi själva använder mallen för att hjälpa många organisationer som vill ha en bättre inblick i de risker som finns inom informationssäkerhet och deras egna IT-tillgångar. Om du vill få hjälp med att sätta ihop din riskbedömning, hjälper vi gärna till med rådgivning och som sparring.

Ladda ner vår mall här och kontakta oss på info@cyberpilot.io.