Riskanalys och riskhantering

Information är en av organisationens viktigaste tillgångar. Dessa informationstillgångar måste skyddas mot hot så att de inte förstörs eller kommer i orätta händer.

Ett hot är en tänkbar incident. Risken för att incidenten skall inträffa beror på hotets sannolikhet och hotets konsekvens. Ju högre sannolikhet för att en viss incident ska inträffa och ju större konsekvens en sådan incident skulle ha om den inträffar, desto högre är risken. 

Risker behöver hanteras för att minimera potentiella skadeverkningar, men först måste riskerna analyseras.

Riskanalys

För att en organisation ska kunna skydda sig mot eventuella framtida informationsskador, måste man börja med att göra en riskanalys.

En riskanalys är ett systematiskt sätt att identifiera hot som sedan värderas utifrån deras sannolikheter och konsekvenser.

Sannolikhet

Att bedöma sannolikheter kan vara svårt på grund av att det hela tiden händer mycket inom informationssäkerhet. Det räcker inte att bara utgå från egna och andras erfarenheter, vad som hänt tidigare, det vill säga kända sannolikheter. För att göra en mer verklighetstrogen sannolikhetsbedömning måste man försöka tolka utveckling och trender inom samhället och den egna branschen och göra en så verklighetstrogen bedömning som möjligt av framtida sannolikheter.

Sannolikheten för en händelse kan graderas i:

  • Osannolik

  • Potentiell

  • Sannolik

  • Högst sannolik

Konsekvens

Att bedöma konsekvenser är inte heller enkelt. Det kan vara svårt att bedöma skador och kostnader för en incident som redan inträffat. Ännu svårare är det förstås att bedöma konsekvenserna av en tänkbar incident som ännu inte inträffat, vilket man måste försöka göra i en riskanalys.

Konsekvensen av en händelse kan graderas i:

  • Ringa

  • Måttlig

  • Betydande

  • Kritisk

Riskanalysen kan vara förknippad med stora svårigheter, men i arbetet med analysen måste organisationen med både egna resurser och kunskaper och hjälp utifrån, försöka göra en analys av riskerna som är så verklighetstrogen som möjligt. Syftet med riskanalyser är att ge stöd för vilka säkerhetsåtgärder som behöver införas.

Grunden för hela riskanalysen är att identifiera hotscenarier. Det är ju dessa som sedan ska värderas i form av sannolikhet och konsekvens.

Om man missar att identifiera ett viktigt hot så kommer det inte att vara en känd risk som behöver behandlas med säkerhetsåtgärder.

Bevakning av hotbilder måste göras kontinuerligt.

Riskhantering

När riskerna analyserats måste de hanteras, det vill säga man måste planera för vilka åtgärder som måste göras för att minimera riskerna.

Här gäller det att hitta en bra balans och rätt nivå på säkerhetsarbetet och kunna motivera de nödvändiga åtgärderna, investeringarna och insatserna.

Riskhantering är ett systematiskt sätt att skydda en verksamhets resurser mot skaderisker så att verksamhetens mål kan uppnås med ett minimum av störningar.

Sammanvägningen av en händelses sannolikhet och konsekvens ger ett värde som vi kallar riskfaktor.

Riskfaktorn kan vara grunden för hur man ska hantera risken. 

Riskfaktorn och riskhanteringen kan graderas på följande sätt:

  • Försumbar risk – acceptera

  • Låg risk – bevaka

  • Medel risk – planera en riskreducerande åtgärd

  • Hög risk – omedelbar åtgärd

Risker som inte kan accepteras måste elimineras eller reduceras till en acceptabel nivå med hjälp av säkerhetsåtgärder. Säkerhetsskydd kan vara förebyggande eller återställande.

Förebyggande skydd är inriktade på att minska sannolikheten för en skada.

Återställande skydd är inriktade på att minska konsekvensen/skadan.

Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!