Sådan klarer du risikostyring indenfor IT-sikkerhed – trin for trin
- maj 31, 2024
Der er et paradoks indenfor cyberangreb og risikostyring:
I en rapport fra 2023 siger 52% af IT-sikkerheds-professionelle, at de oplever flere cyberangreb. Men kun 8 % af de organisationer, der gennemfører cyber-risikovurderinger, gør det hver måned. Og kun 40 % af dem gør det årligt.
Det er bekymrende af to grunde:
1) Cyberkriminelle bliver ‘bedre’ hver dag. Og 2) mange organisationer er nødt til at overholde lovgivninger såsom NIS2-direktivet for at opbygge cyber-resiliens og beskytte vores samfund.
Så hvad med, at vi sammen forbedrer statistikkerne ovenfor?
Det handler om at have gjort et stærkt, struktureret fodarbejde, der gør det nemt og enkelt for dig at holde dine risikovurderinger ‘up to date.’
Dét arbejde er du klædt på til, når du har læst dette blogindlæg, da vi svarer på:
Hvad er risikostyring indenfor IT-sikkerhed?
Generelt handler risikostyring om at identificere og håndtere potentielle trusler, både med henblik på at overholde relevante love eller rammeværk og for at beskytte virksomheden.
Disse trusler kan være alt fra finansielle risici, juridiske risici og strategiske risici til ulykker og endda naturkatastrofer.
Fra et IT-sikkerheds-perspektiv er en trussel en trussel, hvis den udgør en risiko for din organisation.
Set fra et NIS2-perspektiv afgøres truslers alvorlighed af den risiko, de udgør for samfundet og kritisk infrastruktur som energi, vand, fødevarer eller andre sektorer, som andre organisationer eller borgere er afhængige af.
Uanset om det gælder IT-sikkerhed eller NIS2, er risici hypotetiske uønskede hændelser, der dukker op ‘udefra’ og påvirker et helt system eller hele organisationen.
Så i modsætning til GDPR, hvor man vurderer risici ‘indeni’ et aktiv og følger en aktivbaseret tilgang, foretager man risikovurderinger inden for IT-sikkerhed ved at vurdere risikoscenarier.
Risikoscenarie-tilgangen er også den tilgang, vi – og forhåbentlig snart du – følger i disse 5 trin i en risikovurdering.
De er baseret på ISO 27005, som er en standard, der hjælper organisationer med at styre deres informationssikkerhed, cybersikkerhed og beskyttelse af privatlivets fred.
5 trin i en risikovurdering
Vi anbefaler denne 5-trins-guide, når du laver en risikovurdering af dine risikoscenarier:
Trin 1: Identificér de vigtigste risikofaktorer
Som det første bør du identificere risikofaktorer, der kan føre stor økonomisk eller driftsmæssig skade på din organisation.
For at kickstarte denne proces kan du fx:
- Lave en brainstorming med de vigtigste interessenter (f.eks. ledelse, sikkerhedspersonale og dem, der er ansvarlige for vigtig infrastruktur).
- Analysere historiske data, hvor du kigger på, hvor organisationens tidligere sikkerhedshændelser eller økonomiske skader er opstået.
- Dykke ned i branchespecifikke rapporter og benchmarks om almindelige sikkerhedsproblemer.
Når du har gennemført denne proces, er du klar til at gå videre til næste trin og dykke ned i de risikoscenarier, der er knyttet til disse vigtigste risikofaktorer.
Trin #2: Lav en liste over scenarier baseret på risikofaktorer
I dette trin bør du overveje en begivenhed (eller en sekvens af begivenheder), der kan resultere i, at en af dine vigtigste risikofaktorer bliver til virkelighed, og hvad konsekvenserne af det scenarie kan være.
Disse hændelser kan omfatte sikkerhedsbrud, angreb, systemfejl eller uautoriseret adgang til følsomme data.
Når du har lavet denne liste, er du klar til at dykke ned i detaljerne ved at se på konsekvensen og sandsynligheden for hver risikofaktor.
Trin #3: Vurdér sandsynligheden for og konsekvensen af hvert risikoscenarie
Nu er det tid til at vurdere konsekvensen og sandsynligheden ved de risikoscenarier, du har identificeret. Måske ved du allerede, at du kan gøre det ved hjælp af en risikoscore som denne:
Du starter med at vurdere sandsynligheden for et scenarie som værende enten meget lav, meget høj eller et sted midt imellem.
Du kan basere dette skøn på historiske data (organisationsspecifikke eller baseret på brancherapporter), på hyppigheden af den pågældende risiko eller ved at vurdere den potentielle motivation hos de aktører, der udgør en trussel.
Hvis en udefrakommende fx kan tjene en stor sum penge ved at stjæle din organisations ejendele, er det mere sandsynligt, at vedkommende vil gøre en stor indsats for at opnå det. I det tilfælde kan det gøre sandsynligheden for, at den risiko bliver realiseret, meget høj.
Derefter vurderer du konsekvensen. Om den er meget lav, alvorlig eller et sted midt imellem, afhænger i høj grad af organisationens egen kontekst og mål.
Men generelt vil en vurdering af de potentielle økonomiske konsekvenser af en bestemt trussel hjælpe dig med at placere scenarier i konsekvensniveauer. Hér vil det højeste konsekvensniveau være de risici, der vil koste organisationen flest penge.
Når du har vurderet sandsynligheden for og konsekvensen af hvert risikoscenarie, ender du med en komplet risikoscore, der kan se sådan ud:
Som du kan se, vil nogle af dine risikoscenarier placere sig i forskellige farveområder.
De grønne er relativt sikre.
Men du skal være opmærksom på de gule og røde – og sørge for de rette sikkerhedsforanstaltninger. Dette bringer os til trin #4.
Trin #4: Implementér og dokumentér sikkerhed
Dette trin handler om at implementere og dokumentere sikkerhed, prioritere scenarierne med den højeste risikoscore og derefter vurdere den resterende risiko.
Først skal du fokusere på sikkerhed, der mindsker sandsynligheden for, at en risiko indtræffer, fx kryptering af data, begrænsning af adgang til aktiver eller udvikling af backup-planer i tilfælde af forstyrrelser i forsyningskæden.
I de fleste tilfælde kan man ikke mindske konsekvensen af en risiko ved hjælp af sikkerhed, så indsatsen bør rettes mod at sikre, at scenariet slet ikke opstår.
Når du har implementeret den rette sikkerhed, bør du revurdere de risikoscenarier, du identificerede i trin 3.
Fortsæt processen, indtil risikoen er reduceret til et niveau, der er i overensstemmelse med organisationens risikostyringspolitik og risikoappetit.
Når du har gjort denne del af din risikovurdering, kan den samlede risikoscore komme til at se sådan her ud:
Trin #5: Opdatér risikovurderinger og mitigér risici løbende
Som alt andet compliance-arbejde er risikovurdering en løbende proces. Derfor bør du vurdere højrisikoscenarier løbende.
Desuden anbefaler vi, at du vurderer andre risikoscenarier – dvs. de ‘gule’ og ‘grønne’ scenarier, som du identificerede i trin 3 – mindst en eller to gange om året.
Det er for at sikre, at din organisation altid er cyberrobust og fastholder risici i det grønne område.
Sådan gør du din risikostyring mere effektiv
Selv for en IT-/cyber-sikkerhedsspecialist som dig kan risikostyring være overvældende og tidskrævende.
Især hvis du bruger Excel-ark til at udføre din organisations risikostyring.
Derfor har vi introduceret et alternativ til dig:
Det er det eneste værktøj, der giver dig AI-drevne forslag til risikovurderinger.
På den måde hjælper ComplyCloud AI dig med at automatisere beskrivelserne af risici, trusler og sikkerhedskontroller – og giver dig en forsikring om, at dine risikovurderinger er nøjagtige.
