Eksempel på risikoanalyse for bedrift


OppOgFram er en norsk, mellomstor virksomhet med to avdelinger, en i Bergen og en i Stavanger. Virksomheten er underleverandør for en større virksomhet, TraustOgStabil. TraustOgStabil krever at alle underleverandører skal ha god sikkerhet, og som et ledd i dette skal de ha gjennomført en risikovurdering.

Trusler

Eksempler på trusler den IKT-ansvarlige kan se for seg er:

  • Konkurrenter får tilgang til strategier, anbudsinformasjon og forretningshemmeligheter.
  • Ustyr blir stjålet, og noe informasjon går tapt.
  • Flere PC-er blir angrepet av virus, og flere ansatte blir dermed hindret i arbeidet.

En vurdering av trusselen Konkurrenter får tilgang til informasjon er påbegynt.

Akseptabel risiko

OppogFram har ikke gjort dette tidligere og startet med tre nivåer for konsekvens, sannsynlighet og risiko. Ledelsen har vurdert hva de mener er “akseptabel risiko”.

  • Med stor risiko menes hendelser som skjer mer en to ganger i uken, gir tap på over 100.000 kr eller betydelig tap av renommé. Rød farge er brukt, og er ikke akseptabelt.
  • Med moderat risiko menes hendelser som skjer mer enn to ganger i måneden, gir tap på over 50.000 kr eller tap av renommé. Oransje farge brukes, og må ha oppmerksomhet.
  • Med lav risiko menes hendelser som skjer mer enn to ganger i halvåret, medfører tap på over 10.000 kroner eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres.

Se egen veiledning om risikostyring.

 Sansynlighet

Sjelden

Kan skje

Svært vanlig

Konsekvens

Liten

Lav

Lav

Moderat

Middels

Lav

Moderat

Stor

Stor

Moderat

Stor

Stor

Konsekvenser

Dersom uvedkommende får tilgang til sensitiv informasjon kan det få store konsekvenser, alt etter hvilken informasjon som blir kjent og hvem som blir kjent med denne. Eksempler på konsekvenser er:

  • Forholdet til TraustOgSolid blir påvirket, og OppOgFrem får færre og mindre viktige leveranser i fremtiden på grunn av manglende tillit når det gjelder sikkerhet.
  • Konkurrenter klarer å levere bedre og billigere produkter på grunn av kjennskap til OppOgFrem sine bedriftshemmeligheter.
  • OppOgFrem taper anbudskonkurranse fordi konkurrent kjente til innholdet i tilbudet og bød like under.

Risikovurdering

OppOgFram har startet med å vurdere risiko for virksomheten og tabellen nedenfor viser aktuelle risikoer. Gjennomgangen er ikke ferdigstilt.

Trussel: Konkurrenter får tilgang til informasjon

 #

Årsaker

Risikovurdering

   Mulige tiltak

Konsekvens

Sansynlighet

Risikonivå

1

Egne ansatte kan ønske å spre sensitive opplysninger for egen vinnings skyld.

 Stor

 Sjelden

Moderat

Opplæring av ansatte

2

Uvedkommende kan bryte seg inn i datasystemet utenfra, enten på grunn av mang­lende sikring av nettverket, eller på grunn av sikkerhetshull i programmer som brukes eller som ansatte har lastet ned på eget initiativ

 Stor

Kan skje

Stor

Opplæring av ansatteUtstyr som inneholder spesielt viktig informasjon skal kobles fra Internett

3

Vi kan bli offer for generelle angrep (virus/ormer/trojanere, jakt etter ressurser osv.) der sensitive data tilfeldigvis blir oppdaget og hentet ut. Disse kan så bli solgt videre.

Stor

Kan skje

Stor

Innstalleringer av sikkerhetsopp­dateringer skal bli fast rutineBeskyttelsen av selve nettverket skal bli bedre og mer helhetlig

4

Utenforstående kan stjele utstyr der sensitiv informasjon er lagret.

 Stor

Kan skje

Stor

Opplæring av ansatteBedre fysisk sikring av maskinromBedre rutiner for avhending av utstyr og makulering

5

Ansatte kan bli lurt dersom de får en henvendelse om utlevering av informasjon fra noen som hevder de jobber i den andre avdelingen. Ikke alle ansatte kjenner hverandre.

 Stor

Sjelden

Moderat

Opplæring av ansatte

Var dette nyttig for deg?

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *