Sikker nok?

Risikovurdering er en proces - 3 grunde til at gøre det igen (og igen)

[fa icon="calendar"] 10. juli 2015 / af Lars Neupart

Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav. 

 
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).

Hvad der ofte sker er, at virksomheden udfører en risikovurdering, skriver en flot rapport ... og det er så det. Rapporten ligger i en skuffe eller på en hylde og samler støv indtil næste år eller indtil næste revision.

Og det er her, fejlen ligger. Risikovurdering er ikke et projekt, der bare kan lukkes ned efter afslutning. Det er en løbende proces.

Hvorfor? Her er 3 gode grunde til, at risikovurdering er en proces og ikke et projekt:

  1. Din virksomhed er i konstant forandring, og det samme er verden omkring den - også  trusler og sårbarheder
  2. Når du har vurderet risici, skal du behandle dem. Risikobehandling må aldrig stoppe - og heller ikke risikovurdering
  3. Informationssikkerheden skal forbedres hele tiden. Det samme gælder risikostyringen

Pointen er, at det ikke dur at stå stille. Du skal vurdere risici med jævne mellemrum, fordi det giver mening for din virksomhed. Tænk på det sådan her: Hvor meget er dit ledelsessystem til informationssikkerhed værd, hvis det ikke afspejler de uundgåelige forandringer din virksomhed og verden omkring den er udsat for?

De gode nyheder

Selv om "risikovurdering" lyder som en kedelig og tidskrævende opgave, behøver den faktisk ikke være så omfangsrig, at den afholder dig fra at risikovurdere med jævne mellemrum.

Du kan tage nogle genveje, som vil spare dig for værdifuld tid, når du udfører dine risikovurderinger:

Ikke alle aktiver

Start med kun at udvælge dine vigtigste forretningsprocesser. Ikke alle aktiver - og slet ikke alt med et ip-nummer. Du kan altid udvide scopet senere. 

Ikke alle trusler

Undgå at dit trusselskatalog vokser sig stort og uoverskueligt. Opdel dine aktiver i typer og identificér hvilke trusler, der er relevante for de forskellige typer af aktiv. 

Op- og nedarvning af risiko

Identificér afhængigheder mellem dine aktiver. Så behøver du færre forretningskonsekvens- og sårbarhedsvurderinger.

Først overordnede vurderinger

Det giver god mening at starte med at lave overordnede risikovurderinger. Senere vil du have mere tid til at gå i detaljen med vurderingerne af dine aktiver.

 

En endnu bedre nyhed

Når du følger best practice for informationssikkerhed med ISO 27001 og ISO 27005 er du allerede godt i gang. Lær hvordan på webinar om risikostyring. Læs mere og tilmeld dig her:

cta-risk-dk_small.png

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.