Risikostyring


I denne veiledningen vil vi se på hva risikostyring er, hvordan risikovurderinger kan gjennomføres og hvilke tiltak man kan iverksette.

Eksempel på en risikoanalyse utført av en eksempelkommune finner du her.

Om risikostyring

Hva er risikostyring

Risikostyring er et verktøy for en virksomhet for å nå sine mål.  Med god risikostyring kan en forutse eventuelle risikoer som vil ha negativ innvirkning på virksomheten. En strukturert risikostyring setter en i stand til å se risikoer, måle innvirkning på virksomheten hvis risikoen inntreffer, prioritere hvilke risikoer en først og fremst må ta hensyn til for deretter å sette inn nødvendige tiltak for å demme opp mot risikoene.

Hva bør vurderes?

Leder må avgjøre hvilke forretningsområder, tjenesteområder, prosesser eller systemer det skal gjennomføres risikovurdering av. Normalt fokuserer en først og fremst på virksomhetens kjerneområder, i tillegg til at virksomheter ofte er underlagt lovpålagte krav om å gjennomføre risikovurderinger. Kunder og samarbeidspartnere vil også normalt stille slike krav til gjennomføring og rapportering av risikoer.

En risikovurdering skal ha definert et risikoobjekt, dvs. en skal i utgangspunktet beskrive hva en skal vurdere. Eks. skal et nytt økonomisystem vurderes er det dette økonomisystemet og det som har innvirkninger på økonomisystemet som er i fokus for hva som skal vurderes.

Normalt gjennomføres risikovurderinger ved etablering eller endring som innvirker på virksomhetens kjernevirksomhet, eller andre viktige endringer av økonomisk, personellmessige eller av juridisk art.

Om prosessen

Risikostyring skal være en integrert del av virksomhetens ledelses- og styrings system. Virksomhetens ledelse skal prioritere risikoarbeidet ved at det settes av tid til å gjennomføre risikovurderinger og at den utføres av riktig personell. Prosessen skal være godt dokumentert slik at det går klart fram hvilke prioriteringer som foreslås ovenfor ledelsen.

Risikovurdering skal måle det tapet risikoer kan gi virksomheten hvis en risiko materialiseres. Det er det viktig at en i starten av risikovurderingen har dannet seg et bilde av hva en virksomhet kan tåle av tap. Da kan risikovurdering lett peke på hvilke risikoer en skal kunne leve med og hvilke en må sette inn tiltak mot.

Risikovurdering

En risikovurdering skal først og fremst finne risikoer som kan ramme sin virksomhet. For å finne alvorlighetsgraden må en i tillegg kunne måle den innvirkningen en risiko gjør hvis den skjer. Målingen er et produkt av konsekvensen hvis risikoen skjer og sannsynligheten for at en risiko kan skje.

Med konsekvens menes direkte økonomiske tap, og indirekte økonomiske tap i form av omdømme tap, kundeflukt, negative følger for ansatte etc.

Med sannsynlighet mener vi hvor ofte en beregner risikoen kan inntreffe (frekvens) eller hvor “fort gjort” en risiko kan inntreffe (letthet).

For å skaffe seg et bilde av alle risikoene skaleres konsekvens og sannsynlighet i eks. 4 nivåer så en lett kan vurdere alvorlighetsgraden for hver risiko. De 4 nivåene skal gjenspeile hva virksomheten kan tåle eller ikke tåle av tap, se i kapitlet over

Identifisere trusler

Truslene innen informasjonssikkerhet kan beskrives som hendelser som kan føre til brudd på konfidensialitet, integritet eller tilgjengelighet til IKT-systemer og informasjon generelt.

Med konfidensialitet menes informasjon kan skade virksomheten eller dens ansatte hvis den kommer på avveie eks. deles med andre. Eksempel kan være personopplysninger, markedsplaner, planer om investering etc.

Med integritet menes at informasjon skal være korrekt, gyldig og oppdatert til enhver tid. Eks. korrekte lønnsdata så en betaler korrekt lønn. Integritet i fbm. helseopplysninger er viktig for den ansatte

Med tilgjengelighet mener vi tilgjengeligheten til systemer og prosesser så den enkelt medarbeider får utført jobben sin. Med tilgjengelighet mener vi også at automatiserte tjenester der systemer jobber sammen internt eller over grensesnitt går som planlagt.

I trusselvurderingen må en identifisere interne og eksterne aktører og hvilke systemer som er involvert. Årsaken til truslene kan være mange eks. systemsvikt, dårlig konfigurering, mangel på opplæring, mangel på personell, dårlige eller mangel på rutiner, brann, innbrudd etc.

En trusselvurdering er en viktig del av risikovurderingen der alle deltagere i risikovurderingen er med å “snu steiner”.

Konsekvens

Konsekvensen av hendelser er en viktig faktor i forhold til å vurdere hvilke hendelser som kan aksepteres og hvilke det må settes inn tiltak mot. Noen av spørsmålene man burde stille for å vurdere konsekvens er:

  • Hvor store direkte kostnader vil dette gi?
  • Vil det medføre tap av omdømme?
  • Vil vi miste kunder eller redusere vår tilflyt av nye kunder?
  • Vil det svekke relasjonen til samarbeidspartnere?
  • Hvor lang tid vil det ta å komme tilbake til normalen?

Sannsynlighet

Det kan være vanskelig å vurdere sannsynlighet for at en hendelse kan skje. Sannsynlighets-reduserende tiltak som allerede er iverksatt skal tas inn i vurderingen.

Spørsmål som er relevante å stille:

  • Hvem har motiv for å forårsake hendelsen?
  • Hvor lett er det å forårsake hendelsen?
  • Fungerer de tiltak som er satt inn allerede?
  • Hvor ofte har vi opplevd dette før?

For mange hendelser, for eksempel brann, er det mindre viktig hvor høy sannsynligheten er dersom konsekvensen er tilstrekkelig høy.

Tiltak

Resultatet av risikovurderingen skal kommunisere hva det er viktig for virksomheten å gjøre noe med. Der risikoen er større enn akseptert nivå må det vurderes om det skal settes inn tiltak for å redusere sannsynligheten og/eller konsekvensen.

Valg av tiltak

Tiltak må vurderes etter hva slags type risiko det er snakk om:

  • Samarbeid om gjensidig varsling og informasjon om sikkerhetstiltak med andre i samme bransje, IKT leverandører og CERT-miljø
  • Tekniske tiltak
  • Opplæring, trening og øving
  • Organisering
  • Forsikring

I dette arbeidet kan den norske standarden NS-ISO/IEC 17799:2005, eller sikkerhetshåndboken være til god hjelp.

Gjennomgang

Etter at de valgte tiltakene er på plass må man igjen vurdere om risikoen er akseptabel. Dersom den ikke er det, må man vurdere flere tiltak.

For å vurdere effekten av de tiltakene man har valgt å implementere er det viktig å ha en plan for hvordan man skal registrere, håndtere og rapportere uønskede hendelser. En hendelsesstatistikk kan indikere om tiltakene faktisk virker, det vil også være lettere å fastsette sannsynlighet og konsekvens i fremtiden hvis man har tall å se tilbake på.

Risikostyring – ingen engangsjobb

En vurdering av risikobildet bør rapporteres til og behandles av ledelsen årlig. Dette synliggjør endringer og man tvinges til å vurdere om det er endringer i omgivelsene som krever spesiell behandling.

Det er viktig å følge med på om iverksatte tiltak virker og om noe har endret risikoen for uønskede hendelser. Ved større endringer i organisasjonen, markedet eller omgivelsene bør man alltid gjennomføre en ny risikovurdering. Ny risikovurdering bør gjennomføres ved:

  • Endret trussel: økt omfang, ny aktører og metoder
  • Endringer i egen virksomhet: nye måter å gjennomføre forretningsdriften på, nye kundegrupper, nye samarbeidspartnere, nye leverandører
  • Nye krav fra kunder
  • Endring i lovverk
  • Endringer i IKT-tjenestelveranse strategi: nye leverandører, nye teknologier, skyløsninger, mobile løsninger
  • Behandling av mer eller nye typer sensitiv eller virksomhetskritisk informasjon

Les mer

Datatilsynet

Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven

Standarder

Norsk Standard NS 5814:2008 – Krav til risikovurderinger, som kan kjøpes hos standard.no.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.