Sikker nok? Blog om informationssikkerhed

Risikovurderinger skal flugte med forretningsmålene

[fa icon="calendar"] 11. december 2019 / af Jakob Holm Hansen

Det er ikke bare en stor hjælp til ledelsen, når risikovurderingerne tager udgangspunkt i konkrete forretningsmål. Forretningsbaserede risikovurderinger hjælper også ansvarlige for informationssikkerhed med at prioritere de sparsomme ressourcer.

Når ansvarlige for informationssikkerhed foretager risikovurderinger, er der nogle, der følger en fast procedure. De tager udgangspunkt i en række systemer og processer, der engang er blevet defineret som kritiske. De gennemgår trusselskataloget. Er der kendte sårbarheder på et system, dykker de ned i detaljen og foretager en konkret trusselsvurdering på systemet – også selvom det ikke spiller en central rolle for driften af virksomheden.

“Langt hen ad vejen fungerer tilgangen fint. Der bliver identificeret sårbarheder på den måde. Men i stedet for at trusselvurdere på alt opfordrer vi til, at man kun foretager risikovurderinger, der kobler sig direkte til forretningens målsætninger,” siger Jakob Holm Hansen, direktør for Neupart.

 

"I stedet for at trusselvurdere på alt opfordrer vi til, at man
kun foretager risikovurderinger, der kobler sig direkte til
forretningens målsætninger"

Jakob Holm Hansen, direktør i Neupart

 

Bryd ned i delmålsætninger

Uanset om man er en offentlig organisation, der leverer borgerservices, eller om man er en privat virksomhed, der sælger et produkt, har ledelsen defineret en strategi. Strategien består typisk af forretningsmål, nedfældede værdier eller noget lignende.

“Som ansvarlig for informationssikkerhed skal man bryde den overordnede målsætning ned i delmålsætninger og trusselvurdere på de systemer og processer, der understøtter hver delmålsætning.

“Hvis en virksomhed eksempelvis har en overordnet strategi om at levere Danmarks bedste kundeservice, skal man som sikkerhedsansvarlig vurdere trusselsituationen mod de kommunikationskanaler, der gør, at kunderne altid kan komme i kontakt med virksomheden.”

Adgang til ledelsen

Når sikkerhedsansvarlige risikovurderer på baggrund af forretningsmål, er det med til at styrke samarbejdet med ledelsen. Man kan ikke forvente, at ledelsen skal kunne forstå en teknisk risikovurdering af hele systemlandskabet og infrastrukturen. Men de kan godt forstå en sikkerhedsvurdering, der tager udgangspunkt i de målsætninger for virksomheden, de selv har været med til at udforme.

“Det kan eksempelvis være, at virksomhedens vækst i de næste to-tre kvartaler er bundet op på lanceringen af et nyt produkt. Hvis man som sikkerhedsansvarlig tager udgangspunkt i den produktlancering, kan man give ledelsen en målrettet risikovurdering af det, der interesserer dem mest. De ved godt, hvad det betyder for forretningen, hvis en produktlancering eksempelvis må udsættes på grund af it-sikkerhedsudfordringer.”

Brug snusfornuften

Jakob Holm Hansen understreger, at ansvarlige for informationssikkerhed ikke behøver at genopfinde sine arbejdsmetoder for at trusselsvurdere på baggrund af forretningsmål. Det handler primært om at vende den traditionelle tilgang på hovedet.

“Man skal stadig tage stilling til trusler. Man skal bare gøre det prioriteret. På den måde er der en god portion snusfornuft i det. Det handler om at sætte ind med risikovurderinger, der hvor virksomheden har mest gavn af dem. Dermed sparer man også ressourcer og effektiviserer sine egne arbejdsgange.”

Opgør med ‘plejer’

Risikovurderinger koblet op på forretningsmål kan godt betyde et opgør med ‘plejer-mentaliteten’ i en organisation.

“Der bliver foretaget mange risikovurderinger efter devisen, at sådan plejer vi at gøre. Det betyder egentlig bare, at nogen har vurderet, at der er systemer og processer, der engang har været kritiske for forretningen. Men er de stadig det?,” spørger Jakob Holm Hansen og slutter:

“Når man foretager risikovurderinger på baggrund af forretningsmål, spiller man automatisk sig selv mere på banen og viser forretningsforståelse. Det er en god måde at komme tættere på ledelsesbeslutningerne.”

 

Neuparts værktøj, Secure ISMS, hjælper dig med at udføre effektive risikovurderinger. Læs mere her 

Mere om risikovurdering og risikohåndtering

Sådan laver du risikovurderinger (video 24:00)

Få direkte adgang til videoen her og lær hvordan du laver risikovurdering og risikohåndtering. Neuparts løsning Secure ISMS anvendes undervejs til visning af opgaverne.

Få adgang her

Gratis vejledning til risikostyring

Hent vores vejledning og få styr på, hvordan du baserer informationssikkerheden på de reelle risici organisationen er udsat for. Netop som ISO 27001 foreskriver.

Vejledningen beskriver den metodik, Neupart anbefaler organisationer at anvende til risikostyring. Den er udarbejdet med udgangspunkt i standarden for Risk Management,
ISO 27005.

Hent guiden og få opskriften her

Risikostyring baseret på ISO 27005

 

 

 

Emner: risikohåndtering, risikovurdering, informationssikkerhed, ledelsens opbakning

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg