I denne veiledningen viser vi til formålet med risikostyring, hva risikostyring er og hvordan risikovurderinger kan gjennomføres og følges opp.
Eksempel på en risikoanalyse utført av en eksempelkommune finner du her. Eksempel for en bedrift finner du her.
Om risikostyring
Hva er formålet med risikostyring?
Risikostyring er et verktøy for enhver virksomhet for å nå sine mål. Med god risikostyring kan en forutse eventuelle risikoer som vil ha negativ innvirkning på virksomheten. En strukturert bruk av risikostyring setter en i stand til å se risikoer, måle innvirkning på virksomheten hvis risikoen inntreffer, prioritere hvilke risikoer en først og fremst må ta hensyn til for deretter å sette inn nødvendige tiltak for å fjerne eller demme opp mot risikoene.
Hva bør vurderes?
Leder må avgjøre hvilke forretningsområder, tjenesteområder, prosesser eller systemer det skal gjennomføres risikovurdering av. Normalt fokuserer en først og fremst på virksomhetens kjerneområder, i tillegg til at virksomheter ofte er underlagt lovpålagte krav om å gjennomføre risikovurderinger. Kunder og samarbeidspartnere vil også kunne stille slike krav til at risikoanalyser er gjennomført, da vil de lettere stole på leveranser fra din bedrift.
En risikovurdering skal ha definert et risikoobjekt, dvs. en skal i utgangspunktet beskrive hva en skal vurdere. Eks. skal et nytt økonomisystem vurderes er det dette økonomisystemet og det som har innvirkninger på økonomisystemet som er i fokus for hva som skal vurderes.
Risikovurdering er nødvendig ved:
- Endret i trusselbilde: økt omfang, nye aktører og metoder
- Endringer i egen virksomhet: nye prosesser, endring i måten skal drive forretningen på, nye kundegrupper, nye samarbeidspartnere, nye leverandører
- Nye krav fra kunder
- Nye eller betydelige endringer i IT systemer
- Endring i lovverk
- Endringer i IKT-tjenestelveranse strategi: nye leverandører, nye teknologier, skyløsninger, mobile løsninger
- Behandling av mer eller nye typer sensitiv eller virksomhetskritisk informasjon
Risikostyring skal være en integrert del av virksomhetens ledelses- og styrings system. Virksomhetens ledelse skal prioritere risikoarbeidet ved at det settes av tid til å gjennomføre risikovurderinger og at den utføres av riktig personell. Prosessen skal være godt dokumentert slik at det går klart fram hvilke prioriteringer som foreslås ovenfor ledelsen.
Risikovurdering skal måle det tapet risikoer kan gi virksomheten hvis en risiko materialiseres. Et tap kan måles som direkte eller indirekte økonomiske tap, eller andre negative følger eks. tap av anseelse.
Det er det viktig at en i starten av risikovurderingen har dannet seg et bilde av hva en virksomhet kan tåle av tap. Da kan risikovurdering lett peke på hvilke risikoer en skal kunne leve med og hvilke en må sette inn tiltak mot.
Risikovurdering
En risikovurdering skal først og fremst finne risikoer som kan ramme din virksomhet. For å finne alvorlighetsgraden må en i tillegg kunne måle den innvirkningen en risiko gjør hvis den skjer. Målingen er et produkt av konsekvensen hvis risikoen skjer og sannsynligheten for at en risiko kan skje.
Med konsekvens menes direkte økonomiske tap, og indirekte økonomiske tap i form av omdømme tap, kundeflukt, negative følger for ansatte etc.
Med sannsynlighet mener vi hvor ofte en beregner risikoen kan inntreffe (frekvens) eller hvor “fort gjort” en risiko kan inntreffe (letthet).
For å skaffe seg et bilde av alle risikoene skaleres konsekvens og sannsynlighet i eks. 4 nivåer så en lett kan vurdere alvorlighetsgraden for hver risiko. De 4 nivåene skal gjenspeile hva virksomheten kan tåle eller ikke tåle av tap, se i kapitlet over
Identifisere trusler
Truslene innen informasjonssikkerhet kan beskrives som hendelser som kan føre til brudd på konfidensialitet, integritet eller tilgjengelighet til IKT-systemer og informasjon generelt.
Med konfidensialitet menes at informasjon kan skade virksomheten eller dens ansatte hvis den kommer på avveie eller deles med andre. Eksempel kan være personopplysninger, markedsplaner, planer om investering etc.
Med integritet menes at informasjon skal være korrekt, komplett, gyldig og oppdatert til enhver tid. Eks. korrekte lønnsdata så en betaler korrekt lønn. Integritet i fbm. helseopplysninger er viktig for den ansatte.
Med tilgjengelighet mener vi tilgjengeligheten til systemer og prosesser så den enkelte medarbeider får utført jobben sin. Med tilgjengelighet mener vi også at automatiserte tjenester der systemer jobber sammen internt eller over grensesnitt går som planlagt.
I trusselvurderingen må en identifisere interne og eksterne aktører og hvilke systemer som er involvert. Årsaken til truslene kan være mange eks. systemsvikt, dårlig konfigurering, mangel på opplæring, mangel på personell, dårlige eller mangel på rutiner, brann, innbrudd etc.
En trusselvurdering er en viktig del av risikovurderingen der alle deltagere i risikovurderingen er med å “snu steiner”.
Når en beskriver en risiko skal den ord-legges slik: “en uønsket hendelse skjer pga. en svakhet eller sårbarhet”. Bruker en denne måte å ordlegge seg på er det enkelt å sette seg inn i problematikken, hva kan skje og hva er grunnen til det. Eks. “Systemet kan bli satt på lufta med feil pga. en ikke rekker å teste alle endringer”
Konsekvens
Konsekvensen av hendelser er en viktig faktor i forhold til å vurdere hvilke hendelser som kan aksepteres og hvilke det må settes inn tiltak mot. Noen av spørsmålene man burde stille for å vurdere konsekvens er:
- Hvor store direkte eller indirekte kostnader vil dette gi?
- Vil en miste eller få redusert evne til å investere ?
- Vil en få stopp eller vansker i den daglige driften?
- Vil det medføre tap av omdømme?
- Vil en miste kunder eller redusere evne til å få nye kunder?
- Vil det svekke relasjonen til samarbeidspartnere?
- Hvor lang tid vil det ta å komme tilbake til normal tilstand?
Sannsynlighet
Det kan være vanskelig å vurdere sannsynlighet for at en hendelse kan skje, men en kan spørre seg:
- Hvor lett er det å forårsake hendelsen?
- Har en tekniske svakheter eller dårlige prosesser?
- Finnes det kjente eksterne trusler som kan påvirke din bedrift eks. trusler fra internett?
- Har en mangel på opplæring/kunnskap?
- Kan noen ha motiv for å forårsake hendelsen?
- Kan en relatere en trussel til noe som har skjedd før?
- Kan er trussel relateres mot visse tidspunkter eller hendelser som er gjentakende ?
Måling av risiko
Måling av risikoer vil være et produkt av sannsynlighet og konsekvens. Tar en alle risikoer i betraktning vil en danne seg et risikobilde for virksomheten. For å visualisere risikobilde kan en skalere sannsynlighet og konsekvens. En virksomhet må ha et klart forståelse for hva en kan ta av tap for å kunne gå videre, det vil være ledende mtp. skalering av konsekvens. Konsekvens kan skaleres som “Meget høy”, “Høy”, “Middels” eller “Liten”. For skalering av sannsynlighet kan en bruke verdiene “Svært ofte” , “Ofte”, Kan forekomme”” eller “Sjelden”. Setter en disse verdiene for hver risiko vil en danne et risikobilde, så en klart vil se hvilke risikoer en må gjøre noe med. En kan visualisere det med en tabell der sannsynlighet og konsekvens har hver sin akse.
Tiltak
Forslag til tiltak skal foreslås for hver risiko. Hva kan en gjøre for å fjerne risikoer, eller hva kan en gjøre for å sette ned verdien for sannsynlighet og/eller konsekvens? Det er ofte det samme tiltaket kan redusere sannsynligheten eller konsekvensen for flere risikoer.
Resultatet av risikovurderingen skal kommunisere hva det er viktig for virksomheten å gjøre noe med. Valg av tiltak
Tiltak må vurderes etter hva slags type risiko det er snakk om:
- Installering eller utbedring av tekniske installasjoner
- Forbedring av virksomhetens prosesser
- Opplæring, trening og øving av ansatte
- Samarbeid om gjensidig varsling med andre i samme bransje, IKT leverandører og CERT-miljø
- Omorganisering
- Ta opp forsikring
I dette arbeidet kan den norske standarden NS-ISO/IEC 27002:2017, eller sikkerhetshåndboken være til god hjelp.
Gjennomgang og gjennomføring av tiltak
Etter at de valgte tiltakene er på plass vil en ut fra risikobilde kunne se hvilke tiltak en må gjøre noe med og hvilke tiltak en kan nedprioritere eller leve med. For faktisk gjennomføring lønner det seg å sette ansvaret til en person eller instans i virksomheten, og også angi tidsfrist for når det skal være ferdig. Som regel medfører et tiltak et kortsiktig økonomisk løft og avsetting av personell.
Risikostyring – ingen engangsjobb
En vurdering av risikobildet bør rapporteres til og behandles av ledelsen årlig. Dette gjør det mulig for ledelsen å ha en kontinuerlig oversikt over det totale risikobildet til enhver tid, og også ha mulighet til å forutse kortsiktige personellmessige og finansielle behov.
Les mer
Datatilsynet
Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven
Standarder
Norsk Standard NS 5814:2008 – Krav til risikovurderinger, som kan kjøpes hos standard.no.