Riskhantering
Våra erfarna säkerhetsspecialister hjälper er identifiera, prioritera och hantera risker för era system, processer, nätverk eller information.
Genom att på ett organiserat och standardiserat sätt hantera era risker kan ni minimera både risken för incidenter av olika slag, men även ha minimerat de potentiella konsekvenserna i förväg, och vara redo att hantera de oväntade och oönskade situationer som kan uppstå.
Tjänstebeskrivning
Tjänsten inkluderar en uppsättning workshops för att identifiera och klassificera tillgångar, identifiera och beskriva hot och sårbarheter, dokumentera de tillhörande riskerna, samt identifiera och planera åtgärder för mitigering av både risk och konsekvens.
Våra erfarna cybersäkerhetskonsulter kan agera i olika roller för dessa workshops, och styra eller stödja processen i samtliga steg i den grad som krävs för att säkerställa att riskhanteringen blir fullgod.
För arbetet kan ni välja att nyttja egna modeller, riskskalor, skyddsnivå-definitioner och prioriteringssystem, eller låta oss hjälpa er att ta fram lämpliga sådana, baserat på bransch-praxis och vad som passar just er organisation.
Generell Metod
Hot uppstår kontinuerligt, och riskhantering måste därför var ett iterativt arbete, vars metoder och resultat dokumenteras noggrant. I allmänhet hanteras risker i tre steg (som i sin tur ofta bryts ner i delmoment):
Riskanalys
Åtgärdsplanering
Beslut och dokumentation
Samtliga steg kan och bör genomföras som workshops i grupp. Det är av stor vikt för effektiviteten att dessa grupper inkluderar rätt personer. Gruppen måste innehålla individer med teknisk och organisatorisk kunskap om det berörda objektet, men hänsyn måste samtidigt tas till att en mindre grupp ofta är betydligt mer tidseffektivt.
En alltför liten grupp deltagare löper risken att sakna relevant kompetens, och även begränsa möjligheten till värdefull diskussion.
En alltför stor grupp riskerar i stället leda till en väldigt ineffektiv bedömningsprocess, där alltför många individers åsikter och synpunkter måste tas hänsyn till.
Definitioner:
Hot/Risk – En händelse med negativ inverkan (om den inträffar)
Sannolikhet – Troligheten att ett hot realiseras
Konsekvens – Resultat av ett realiserat hot
Riskvärde – Ett värde tillsatt en risk, för att möjliggöra prioritering
Objekt/Granskningsobjekt – Systemet, processen eller informationsmängden riskerna i fråga berör
Riskanalys
Under riskanalysen ska risker identifieras och värderas. Detta involverar att formellt notera de risker och hot som kan observeras mot granskningsobjektet i fråga, värdera deras konsekvenser om och sannolikheten för att de inträffar, och därefter prioritera dessa med hjälp av ett uträknat riskvärde. Ofta används riskvärde R = S*K där S & K är bedömd sannolikhet och konsekvens, normalt sett på en skala 1–4 eller 1–5.
Det är av stor vikt att skalan är mycket väl definierad och förstådd av samtliga deltagare, och att den i synnerhet är konsekvent mellan riskanalysen av olika objekt. Skalan bör alltid förankras i verksamheten i stort, snarare än systemet eller processen som analyseras. En risk som är katastrofal för ett specifikt system behöver inte vara katastrofal för verksamheten i stort.
Åtgärdsplanering, Beslut & Dokumentation
Behandlingen av riskerna består av identifikationen av säkerhetsåtgärder som kan implementeras för att antingen förhindra riskens inträffande, eller minimera konsekvenserna av densamma. Varje identifierad risk kan förväntas ha flera potentiella åtgärder, med olika förväntade effekter, och olika förväntade kostnader.
En bedömning måste göras gällande kostnaden av åtgärderna gentemot värdet av den minskade sannolikheten eller konsekvensen av den inträffade risken.
Alla beslut måste motiveras och dokumentera, i synnerhet de risker som inte åtgärdas (en så kallad ”accepterad risk”)
