OppOgFram er en mellomstor norsk produksjonsbedrift. Virksomheten er underleverandør til større virksomheter som igjen krever at alle sine underleverandører skal ha god sikkerhet. Som et ledd av det forlanges det at OppOgFram skal gjennomføre en risikovurdering mtp. informasjonssikkerhet.
Trusler og sårbarheter
Eksempler på trusler og sårbarheter en kan se for seg er, der rammen for risikovurderingen er “Hvordan få god nok informasjonssikkerhet i virksomheten”:
- Produksjonen stopper opp pga. utstyr som er knyttet til internett blir infisert av virus etc., den samme trusselen gjelder for utstyr brukt til administrative oppgaver i bedriften.
- Vital informasjon som strategier, anbudsinformasjon, personopplysninger og andre forretnings sensitiv informasjon kommer på avveie.
- Produksjonen stopper opp pga. feil i programvare eller på utstyr brukt i produksjonen eller administrasjonen.
Konsekvenser
Som en konsekvens for uønskede hendelser kan det i korthet beskrives som:
- En får direkte økonomiske tap i form av uforutsette utgifter eller indirekte økonomiske tap i form av at en ikke kan investere, en mister kunder, en kan ikke selge etc..
- Forringelse av i anseelse som igjen gir økonomiske tap.
- Negative følger for ansatte, ledelse eller andre personer som har en avhengighet til virksomheten.
Sannsynlighet
Med sannsynlighet mener en hvor ofte eller hvor “fort gjort” en risiko kan materialiseres.
Risikobildet – hva må en gjøre noe med og hva kan en leve med
OppogFram har ikke gjort dette tidligere og startet med tre nivåer for konsekvens, sannsynlighet og risiko. For å kunne vite hva en kan tåle av tap i virksomheten er det viktig at en har gjort seg opp en mening om det, slik at en lett kan se hvilke risikoer en kan leve med, “akseptabel risiko”, og hvilke en må sette inn tiltak mot. Ledelsen har vurdert hva de mener er “akseptabel risiko” slik:.
- Med stor risiko menes hendelser som skjer mer en to ganger i uken, gir tap på over 100.000 kr eller betydelig tap av renommé. Rød farge er brukt, og er ikke akseptabelt.
- Med moderat risiko menes hendelser som skjer mer enn to ganger i måneden, gir tap på over 50.000 kr eller tap av renommé. Gul farge brukes, og må ha oppmerksomhet.
- Med lav risiko menes hendelser som skjer mer enn to ganger i halvåret, medfører tap på over 10.000 kroner eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres.
Se egen veiledning om risikostyring.
Sansynlighet |
||||
Sjelden |
Kan skje |
Svært vanlig |
||
Konsekvens |
Liten |
Lav |
Lav |
Moderat |
Middels |
Lav |
Moderat |
Stor |
|
Stor |
Moderat |
Stor |
Stor |
Risikovurderingen
OppOgFram har startet en risikovurdering for virksomheten med tanke på å bedre informasjonssikkerheten som igjen har betydning for å sikre produksjonsapparatet og de administrative oppgavene i virksomheten. Tabellen under viser et utsnitt av risikoer der risikonivået, dvs. betydningen for bedriften, er målt (konsekvens/sannsynlighet), og der det angis forslag til mulige mottiltak for dempe virkningen av eller demme helt opp mot risikoene . Som et tips er det viktig at en beskriver risikoer ved å bruke frasen “pga”, da ser en tydelig hva risikoen kan ende opp i og hva den kommer av.
I praksis kan OppOgFram bruke tabellen under som et fortløpende styringsverktøy i sin bedrift. Etter hvert som tiltak settes inn slettes eller endres risikonivået for den enkelte risiko. Normalt kommer det til nye trusler og sårbarheten påvirket av både indre og ytre faktorer.
Rammen for risikovurderingen er “Hvordan få god nok informasjonssikkerhet i virksomheten”
# |
Risikoer |
Risikovurdering |
Mulige tiltak |
||||
Konsekvens |
Sannsynlighet |
Risikonivå |
|||||
1 |
Personopplysninger kommer på avveie pga. ansatte kan spre personopplysninger. |
Stor |
Sjelden |
Moderat |
Opprette rollebasert tilgang til HR-systemet basert på tjenstlig behovOpplæring av alle ansatte | ||
2 |
Data kommer på avveier pga. manglende teknisk overvåkning av dataflyt i nettverk og datasenter. |
Stor |
Kan skje |
Stor |
IT leverandør må ha:- monitoreringsfunksjon av dataflyt i nett og datasenter – Varslingssenter knyttet til monitorering- og deteksjonsfunksjoner |
||
3 |
Virksomhetssensitiv informasjon kommer på avveie pga. manglende eller svake autentiseringsmekanismer til virksomhetens datasystem. |
Stor |
Kan skje |
Stor |
Innføre tofaktorautentisering ved pålogging av datasystemeneOpplæring av ansatte | ||
4 |
Virksomheten får stopp eller forsinkelser i produksjonen pga. datautstyr blir stålet. |
Stor |
Kan skje |
Stor |
Utfør en gjennomgang av behovet for fysisk sikkerhet | ||
5 |
Feil i informasjon i datasystemene pga. feil i IT leverandørens IT systemer. |
Stor |
Sjelden |
Moderat |
Ha rutiner for oppdatering av IT-systemer |