I det här blogginlägget går vi igenom vad riskanalys är för något och varför det är relevant för din organisation. Vi ger dig även en kom-igång-guide som du kan använda med vår riskanalysmall.
Innehållsförteckning
-
Vad är en riskanalys?
-
Riskanalys för informationssäkerhet
-
Så skapar du en riskanalys
-
Din risk och konsekvensanalys är klar!
Vad är en riskanalys?
En riskanalys är ett verktyg som många organisationer använder sig av för att kunna förutse incidenter och som planläggning för hur man kan minska potentiella risker. Det handlar alltså om att identifiera och analysera potentiella händelser som negativt kan påverka individer, tillgångar eller organisationen. Vi använder oss av riskanalyser för att kunna bedöma vår tolerans mot särskilda risker, så att vi bättre kan förhålla oss till riskerna. Men, viktigast av allt, med en riskanalys får vi möjlighet till att prioritera våra aktiviteter inom säkerhet.
Hos CyberPilot använder vi oss av denna riskbedömningsmall för att hjälpa organisationer att genomföra en riskanalys för informationssäkerhet. Den är gratis och du kan hämta den här.
En riskanalys kan hjälpa din organisation på följande sätt:
-
Identifiera sårbarheter
-
Ge en tydlig överblick
-
Underlag för beslut om förbättringsprocesser och krav, vilket förenklar planeringen
-
Dokumenterad företagsbesiktning
Riskbedömningen kan också hjälpa dig att förstå sannolikheten för att teoretiska risker inträffar i verkligheten.
På så sätt kan du få en bättre förståelse för hur du kan fördela resurser för att förhindra risker och deras konsekevenser. Vi ger dig två exempel på detta här under.
Lyssna på vår podcast där vi går igenom riskanalysen
En tornado träffar ditt företags huvudkontor och skadar all IT-utrustning.
Även om det är en verklig risk, som kan hända och som då skulle få en stor negativ inverkan, är det mycket osannolikt att det händer om ditt närområde inte har någon tidigare historia av tornados. Därför kan du fokusera på andra risker istället.
Konsekvens: HÖG
Sannolikhet: LÅG
En medarbetare reser med en av företagets datorer och den skadas på bagagekarusellen.
Även om det inte är katastrofalt för företaget att förlora en anställds IT-utrustning, är denna risk mer trolig att uppstå mer regelbundet. Kanske blir konsekvensen för företaget mer än bara kostnaden för den förstörda datorn, en förstörd dator kan också leda till dataförlust eller ett brott mot personuppgifter.
Konsekvens: MEDEL
Sannolikhet: MEDEL
Vi föreslår att du spenderar lite tid på att pröva att dämpa en sån här typ av risk.
Målet med en risk och konsekvensanalys att den ska hjälpa dig att klara olika typer av osäkerheter, eller åtminstone vara bättre förberedd på dem.
För att göra en riskbedömning för informationssäkerhet, börjar vi med att titta på potentiella händelser som kan ha en negativ inverkan på din organisation. Några exempel kan vara:
-
Webbplatsen kraschar
-
IT-utrustning skadas
-
Brott mot GDPR och böter
-
Förlust av immateriella rättigheter
I en risk och konsekvensanalys kan du fråga dig själv:
-
Vad skulle dessa händelser betyda för mitt företag?
-
Vilka resurser och tillgångar skulle vi förlora vid en sådan händelse och när skulle vi försöka att lösa sådana problem?
-
Vad skulle vi göra om något av det hände just nu?
I nästa del diskuterar vi hur du skapar din egen riskanalys, med hjälp av vår kostnadsfria riskanalysmall som exempel.
Du kan ladda ner vår riskbedömningsmall här och följa med i alla steg.
Första steget är att bestämma de skalor som du använder under riskbedömningen. I vår mall hittar du dem under den första fliken.
I risk och konsekvensanalysmallen kategoriserar vi risknivåerna som låg, medium eller hög. Man kan tolka de olika risknivåerna efter hur allvarliga konsekvenser det skulle bli om risken blev verklighet.
Här under definierar vi vad varje risknivå kan betyda för ett IT-system.
Låg risk
-
Systemet kan återställas enkelt
-
Systemet levererar en icke-kritisk tjänst
Medium risk
-
Systemet levererar en normal tjänst
Hög risk
-
Systemet levererar en kritisk tjänst för hela organisationen
Dessutom kan du passa på att ta tillfället i akt att diskutera med dina kollegor om hur mycket resurser som skulle krävas för att åtgärda risker om de skulle hända. I vår riskbedömningsmall kan du fylla i ekonomiska konsekvenser, samt hur mycket tid som skulle krävas för att lösa problemet. Detta hjälper dig få en bättre översikt över den fulla effekten av IT-säkerhetsrisker.
Eftersom risker och konsekvenser ser olika ut från organisation till organisation, rekommenderar vi att du anpassar detta avsnitt efter ert behov. Exempelvis, om du arbetar på ett företag vars intäkter enbart kommer från er e-butik, ses en krasch av webbplatsen som en mycket hög risk. Men om webbplatsen däremot fungerar som en hemsida utan mycket funktionalitet eller påverkan på din dagliga verksamhet, så är en krasch av webbplatsen en lägre risk eftersom konsekvenserna är lägre.
Fyll i riskbedömningen
För att slutföra riskbedömningen innehåller vår mall olika kolumner du kan fylla i:
-
Tillgång
-
Kort beskrivning
-
Avdelning
-
Hot
-
Sårbarhet
-
Vidtagna åtgärder
-
Konsekvens
-
Sannolikhet
-
Förslag för ökad säkerhet
Nedanför kommer vi att beskriva var och en av dessa kategorier och ge exempel.
Tillgång
Tillgångar syftar i detta sammanhang på de tillgångar som är relaterade till IT i din organisation. Det inkluderar hårdvara såsom datorer och mobiler som dina anställda använder. Det kan också inkludera IT-tjänster för intern kommunikation som t.ex. Microsoft Teams eller Slack, eller de plattformar som kunden ser, t.ex. er hemsida. Utöver IT, räknar vi också med personal som en tillgång, eftersom anställda har stor påverkan på en organisations säkerhet. Anställda kan vara ett av våra största försvar när det kommer till säkerhet, vilket är varför det är så viktigt att de är medvetna om säkerhetsrisker. Om du är intresserad av att läsa mer om detta, resonerar vi mer kring det i vår e-bok.
Till sist, om er organisation använder sig av Asset Management, kan man använda det dokumentet som referens. Du behöver inte ta med ditt företags alla tillgångar i din riskanalys, utan du kan välja ut de viktigaste systemen och de som används mest.
Kort beskrivning
Även om denna del kan verka självförklarande, är kolumnen användbar för att definiera vad som menas med de tillgångar man har skrivit ner. Till exempel har vi skrivit personal som en tillgång, och definierat det som hel- och deltidsanställda. Här kan man också skriva vem eller vad som inte ingår, t.ex. konsulter, som fungerar som externa rådgivare till organisationen men inte officiellt ingår.
Avdelning
Det är fördelaktigt att definiera vilken avdelning som är ansvarig för vilka tillgångar, eftersom det förbereder företaget att ta till åtgärder när ett problem måste åtgärdas. Istället för en hel avdelning är ibland kanske Dataskyddsombudet som är ansvarig. Att lägga ut ansvar är användbart av flera skäl. Dels får man en tydlig överblick över vilken avdelning som är ansvarig för vad, men att ha tydligt definierade ansvarsområden hjälper också er organisation att reagera snabbare när en säkerhetsrisk blir till verklighet.
Men det är inte i denna kolumn du ska spendera all din energi, eftersom ansvar lätt kan överlappa mellan avdelningar och förändras över tid. Här är det rekommenderat att ni får en mer allmän förståelse, och är flexibla när problem ska lösas.
Hot
Ett hot syftar till den potentiella skada på tillgångar som kan påverkar organisationen. Om det tidigare har förekommit säkerhetsintrång eller incidenter, kan de noteras ned här. Ransomware (skadlig kod) och sabotageprogram eller att obehöriga fått åtkomst till konfidentiell information kan till exempel anses vara hot.
Till exempel blir Ransomware-hot aktuellt när personal surfar på webbplatser, där de av misstag kan komma in på en falsk webbplats och av okunskap råka installera ransomware som låser all åtkomst till organisationers filer och datorer. Härnäst kommer vi diskutera sårbarheter som sammanfaller med dessa hot.
Sårbarhet
Sårbarheter är orsaken till varför hoten inträffar. När det kommer till ransomware, kan sårbarheten till exempel vara att anställda ovetande råkar hamna på en fake hemsida och av misstag installerar ransomware. Vad gäller att obehöriga får tillgång till konfidentiell data, kan sårbarheten vara att någon har glömt att stänga ett fönster under ett videomöte, och av misstag visat en kund deras interna kommunikation. Eller så kan det vara att någon av misstag skickat ett e-postmeddelande med personuppgifter till fel mottagare.
Syftet med det här avsnittet är inte att du beskylla någon, utan snarare att du funderar över möjliga säkerhetsrisker och anledningar till varför de kan uppstå. Genom att förstå hur hot sker, kan vi:
1) Få en bild av hur stort hotet är,
2) Förutse hur sannolikt det är att hotet sker
3) Bestämma hur man arbetar för att undvika dem.
Att förstå och undvika hot som dessa är också ett bra sätt att se till att du efterlever GDPR.
Vidtagna åtgärder
Här antecknar du hur ni tidigare eller för närvarande arbetar för att minska risker. Ett exempel på vidtagen åtgärd, är om er organisation sedan tidigare har erfarenhet av att förlora viktiga filer och att ni därför har tillämpat molnlagring för säkerhetskopiering. Om du använder dig av medvetenhetsträning eller nätfiske-simuleringar för att hålla IT-säkerheten i fokus för dina anställda, kan du också lista dessa aktiviteter här.
Konsekvens
Efter att ha definierat hoten, kan du bättre bedöma hur stora konsekvenserna skulle bli om de skulle hända. Det är en subjektiv bedömning, men om det diskuteras mellan flera kollegor kommer ni upptäcka flera olika perspektiv. Till exempel, om det skulle hända något med organisationens hemsida, vill kanske marknadsavdelningen sätta en “HÖG” konsekvens, medans IT-avdelningen sätter en “LÅG”, eftersom det inte påverkar deras dagliga arbete. Därför är det viktigt att få många olika perspektiv när man utvärderar konsekvenserna i riskbedömningen.
Sannolikhet
Alla risker är inte skapade lika. Vissa kan förmodligen hända några gånger i månaden, medan andra kanske bara kan hända en gång per år. Genom att bedöma sannolikheten för varje risk, får du inblick för hur du kan prioritera dem. Vissa risker, som inte är realistiska, kan till och med lämnas åt sidan.
Förslag för ökad säkerhet
Efter att ha fyllt i de ovanstående kolumner i riskbedömningsmallen, har du skapat dig en tydlig överblick över varje tillgång och de risker som är knutna till dem. I denna sektion kan du använda dig av svaren från tidigare sektioner för att skriva ner förslag för ökad säkerhet.
När varje kolumn är ifyllt med de tillgångar och hot du kan komma på, får du en bättre överblick över riskerna för din IT-säkerhet. Genom riskanalysen kommer du kunna förstå vilka hot som är mer verklig än andra och deras möjliga konsekvenser. Men kom ihåg att behålla dokumentet nära till hands och se till att det regelbundet uppdateras. Det kan till och med vara ett dokument som du konsekvent hänvisar till, som din IT-säkerhetspolicy och policy för acceptabel användning.
Vi hoppas att det här inlägget har hjälpt dig att förstå vad en riskanalys är, och hur du genomför din egen. Vi själva använder mallen för att hjälpa många organisationer som vill ha en bättre inblick i de risker som finns för deras egna IT-tillgångar. Om du vill få mer exempel och hjälp med att sätta ihop din riskbedömning, hjälper vi gärna till med rådgivning och som sparring. Ladda ner vår riskanalysmall här och kontakta oss på info@cyberpilot.io.
Du kan också se vår video om hur du fyller i en riskanalys här
