Sikker nok?

Håndtering af risici

[fa icon="calendar"] 22. maj 2012 / af Lars Neupart

 

Risikohåndtering (også kaldet risikobehandling eller "risk treatment") indgår i det lidt bredere begreb risikostyring. Før I kan håndtere jeres risici, skal I vide hvad jeres risici er, og derfor skal I først lave en risikovurdering. Metoden, som Neupart anbefaler her, tager inspiration i relevante standarder, i dette tilfælde ISO 27005, og tilfører nogle praktiske erfaringer og afprøvede teknikker.

Klik her for at få en personlig gennemgang af metoden på et møde

Scenariet er som følger: I kender jeres risikoniveau, fordi I har lavet forretningskonsekvensvurderinger og sårbarhedsvurderinger på jeres vigtigste forretningsprocesser samt de tilhørende it-services og systemer. Så langt så godt. Risikobehandling er den disciplin, hvor I behandler risikoniveauet.  I har nu fire muligheder for at håndtere eller behandle de enkelte risici:

  • Acceptér
  • Reducér
  • Del
  • Undgå


Acceptér betyder at virksomheden vælger at leve med en risiko. Denne måde at håndtere risici på, er en naturlig følge af at 100% sikkerhed ikke findes.

Reducér betyder at I udfører tiltag der mindsker sandsynligheden for en hændelse eller mindsker konsekvensen når en hændelse sker. Eksempler på disse tiltag finder du i henholdsvis venstre og højre side af skydeskiven, også kaldet forebyggende og udbedrende tiltag.

Del betyder at I behandler risikoen ved at dele den med andre. For eksempel gennem forsikring eller gennem leverandørkontrakter hvor I betaler et forsikringsselskab eller en leverandør for at have en del af risikoen. I den gamle udgave (2008) af ISO 27005-standarden hed dette punkt "overfør". I praksis kan man sjældent eller aldrig overføre hele risikoen.

Undgå. Lyder rart, tænker du? Den vælger vi da! Det kan være et usikkert system, man holder op med at bruge. Denne risiko-behandlingsform er nok ikke den, I kommer til at bruge mest.

I KMD Secure ISMS er risikohåndtering implementeret som en del af risikostyringen. Se denne korte film, for at få et mere konkret indblik i, hvordan Secure ISMS gør det nemt og effektivt at holde styr på jeres risikobehandling. For eksempel kan I nemt se, hvem der tidligere har accepteret hvilke risici. Og du kan se status på om risiko-reducerende aktiviteter er blevet udført.

Og så en lille smart ekstra ting:

Hvis nogen på et tidspunkt har accepteret et risikoniveau, og dette niveau overstiges som følge af ændringer i jeres risikobillede, så viser Secure ISMS at der er en ubehandlet risiko.

Klik her for at få en kort, personlig online-gennemgang. Helt uforpligtende.

 

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.