Risikostyring


I denne veiledningen vil vi se på hva risikostyring er, hvordan risikovurderinger kan gjennomføres og hvilke tiltak man kan iverksette.

Eksempel på en risikoanalyse utført av en eksempelkommune finner du her.

Om risikostyring

Hva er risikostyring

Risikostyring handler om å konkretisere hva styret og ledelsen anser som akseptabel risiko, gjennomføre selve risikovurderingen og prioritere sikkerhetstiltak. Virksomhetens øverste leder er ansvarlig for risikostyringen.

Hva bør vurderes?

Leder må avgjøre hvilke forretningsområder, tjenesteområder og systemer det skal gjennomføres vurderinger av. Mange virksomheter er underlagt krav i lov eller forskrift om å gjennomføre risikovurderinger. Kunder eller andre samarbeidspartnere kan også stille slike krav.

Om prosessen

Vellykket risikostyring forutsetter forankring hos og aktiv deltakelse fra ledelsen. En arbeidsgruppe med bred virksomhetsforståelse og kompetanse inne risikostyring bør gjennomføre selve vurderingen. Resultatene bør dokumenteres og fremlegges for ledelsen. “Akseptabel risiko” brukes deretter som basis for å avgjøre tiltak.

Risikovurdering

Risiko er produktet av konsekvensen av og sannsynligheten for at noe går galt. Sannsynlighet og konsekvens kan fastsettes med skalaen liten – middels – stor, eller med en tallskala. For eksempel kan konsekvensen av brann settes lik stor, eller 3 om man benytter en skala fra 1 til 3.

Verdien på skalaen burde kvantifiseres så godt som mulig. Det kan du gjøre ved å sette finansielle tap på konsekvens og antall hendelser i året på sannsynlighet. Hvis det er nøyaktige verdier her, blir vurderingen mer objektiv uansett hvem som gjennomfører vurderingen.

Det er ofte mange faktorer som spiller inn i en hendelse, en slik skala må også ta for seg tap av omdømme, kundeflukt osv. Det er derfor vanskelig å lage en universell skala for konsekvens og sannsynlighet, men det er viktig å ha en beskrivelse av hva tallene i skalaen betyr.

Identifisere trusler

En risikovurdering eller risikoanalyse skal avdekke trusler og hendelser som kan berøre forretningsdriften. Truslene innen informasjonssikkerhet kan beskrives som ondsinnede aktører og hendelser som kan føre til brudd på konfidensialitet, integritet eller tilgjengelighet til IKT-systemer og informasjon. Eksempel på slike hendelser kan for eksempel være; brann, svindel, feilsituasjoner, datainnbrudd, utpressing og tjenestenekt.

Etter at uønskede hendelser er konkretisert må årsakene til hendelsene vurderes; hvorfor kan de skje, hvor kan det skje og hvem er involvert.

Konsekvens

Konsekvensen av hendelser er en viktig faktor i forhold til å vurdere hvilke hendelser som kan aksepteres og hvilke det må settes inn tiltak mot. Noen av spørsmålene man burde stille for å vurdere konsekvens er:

  • Hvor store direkte kostnader vil dette gi?
  • Vil det medføre tap av omdømme?
  • Vil vi miste kunder eller redusere vår tilflyt av nye kunder?
  • Vil det svekke relasjonen til samarbeidspartnere?
  • Hvor lang tid vil det ta å komme tilbake til normalen?

Sannsynlighet

Det kan være vanskelig å vurdere sannsynlighet for at en hendelse kan skje. Sannsynlighets-reduserende tiltak som allerede er iverksatt skal tas inn i vurderingen.

Spørsmål som er relevante å stille:

  • Hvem har motiv for å forårsake hendelsen?
  • Hvor lett er det å forårsake hendelsen?
  • Fungerer de tiltak som er satt inn allerede?
  • Hvor ofte har vi opplevd dette før?

For mange hendelser, for eksempel brann, er det mindre viktig hvor høy sannsynligheten er dersom konsekvensen er tilstrekkelig høy.

Tiltak

Resultatet av risikovurderingen skal kommunisere hva det er viktig for virksomheten å gjøre noe med. Der risikoen er større enn akseptert nivå må det vurderes om det skal settes inn tiltak for å redusere sannsynligheten og/eller konsekvensen.

Valg av tiltak

Tiltak må vurderes etter hva slags type risiko det er snakk om:

  • Samarbeid om gjensidig varsling og informasjon om sikkerhetstiltak med andre i samme bransje, IKT leverandører og CERT-miljø
  • Tekniske tiltak
  • Opplæring, trening og øving
  • Organisering
  • Forsikring

I dette arbeidet kan den norske standarden NS-ISO/IEC 17799:2005, eller sikkerhetshåndboken være til god hjelp.

Gjennomgang

Etter at de valgte tiltakene er på plass må man igjen vurdere om risikoen er akseptabel. Dersom den ikke er det, må man vurdere flere tiltak.

For å vurdere effekten av de tiltakene man har valgt å implementere er det viktig å ha en plan for hvordan man skal registrere, håndtere og rapportere uønskede hendelser. En hendelsesstatistikk kan indikere om tiltakene faktisk virker, det vil også være lettere å fastsette sannsynlighet og konsekvens i fremtiden hvis man har tall å se tilbake på.

Risikostyring – ingen engangsjobb

En vurdering av risikobildet bør rapporteres til og behandles av ledelsen årlig. Dette synliggjør endringer og man tvinges til å vurdere om det er endringer i omgivelsene som krever spesiell behandling.

Det er viktig å følge med på om iverksatte tiltak virker og om noe har endret risikoen for uønskede hendelser. Ved større endringer i organisasjonen, markedet eller omgivelsene bør man alltid gjennomføre en ny risikovurdering. Ny risikovurdering bør gjennomføres ved:

  • Endret trussel: økt omfang, ny aktører og metoder
  • Endringer i egen virksomhet: nye måter å gjennomføre forretningsdriften på, nye kundegrupper, nye samarbeidspartnere, nye leverandører
  • Nye krav fra kunder
  • Endring i lovverk
  • Endringer i IKT-tjenestelveranse strategi: nye leverandører, nye teknologier, skyløsninger, mobile løsninger
  • Behandling av mer eller nye typer sensitiv eller virksomhetskritisk informasjon

Les mer

Datatilsynet

Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven

Standarder

Norsk Standard NS 5814:2008 – Krav til risikovurderinger, som kan kjøpes hos standard.no.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Var dette nyttig for deg?

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *