Risikovurdering
Risikovurdering

Sådan Laver Du En Risikovurdering – Trin-for-trin Guide Med Gratis Skabelon

Joanna Kwong

I dette blogindlæg forklarer vi, hvad en risikovurdering er, og hvorfor den er relevant for din virksomheds IT-sikkerhed. Derudover guider vi dig igennem, hvordan du laver en risikovurdering med vores gratis skabelon

Hvad er en risikovurdering?

Risikovurderinger er et værktøj, der kan hjælpe alle virksomheder, der ønsker at komme sikkerhedshændelser i forkøbet og planlægge, hvordan risici kan mindskes. En risikovurdering handler om at identificere og analysere potentielle hændelser, der kan påvirke enkeltpersoner, aktiver eller virksomheden negativt.

Vi bruger risikovurderinger til at vurdere, hvor stor sandsynligheden og konsekvenserne for en given situation er. Det sikrer, at vi kan lave tiltag, inden det sker. Derudover gør risikovurderingen det muligt for os at prioritere vores sikkerhedsaktiviteter.

Du kan gratis downloade vores skabelon til at lave risikovurderinger her: 

Du kan også lytte til vores podcastepisode om risikovurderinger:

 

En risikovurdering giver din virksomhed følgende:

Den kan også hjælpe med at tage teoretiske risici og sætte dem i en kontekst, hvor man kan forstå sandsynligheden for, at de sker i virkeligheden.

På den måde kan du bedre vurdere, hvordan du skal placere ressourcer for at forhindre dem. Vi giver dig to eksempler nedenfor.

Risiko 1:

En tornado rammer virksomhedens hovedkvarter og beskadiger alt it-udstyr.

Selvom dette er en risiko, der kan ske og have store negative konsekvenser, så er det usandsynligt, at det vil ske, hvis dit område ikke har nogen fortid med tornadoer. Derfor kan du bruge dine kræfter på at finde løsninger på andre risici.

Konsekvens: Høj
Sandsynlighed: Lav

Risiko 2:

En medarbejdere er på forretningsrejse. Medarbejderens arbejdscomputer bliver beskadiget på bagagebåndet.

Selvom det ikke er katastrofalt for virksomheden at miste it-udstyr fra én enkelt medarbejder, så er det mere sandsynligt end tornadoen. Det kan blive et problem, hvis mange medarbejdere rejser regelmæssigt. Derudover er konsekvensen for at miste det specifikke udstyr måske ikke kun omkostningerne ved den bærbare computer, smartphone osv., men også et potentielt tab af data.

Konsekvens: Medium
Sandsynlighed: Medium

Vi foreslår, at du bruger lidt tid på at mindske denne risiko.

I sidste ende kan risikovurderinger hjælpe dig med at klare enhver storm, eller i det mindste gøre dig bedre forberedt på den.

Risikovurdering for informationssikkerhed

Når det kommer til IT-sikkerhed kan vi starte med at pege på et par eksempler af potentielle hændelser, der kunne have negativ effekt på din virksomhed:

Du kan spørge dig selv:

I næste den sektion vil vi gå gennem vores skabelon og fortælle, hvordan du laver en risikovurdering.

Hvis du hellere vil lytte til en gennemgang af, hvordan man laver en risikovurdering, kan du høre denne episode af vores podcast:

Sådan laver du en risikovurdering

Du kan hente vores skabelon her og følge med i guiden.

risk analysis
Screenshot af template // Klik for at forstørre

Trin 1:

Opret en skala for jeres risikovurderings matrix

Først fastlægger vi de skalaer, vi bruger til vores risikovurdering. I skabelonen skal du være på den første fane.

scale
Klik for at forstørre

I skabelonen kategoriserer vi risikoniveauerne som lave, mellem eller høje. En måde at tænke risikoniveau på er, hvor alvorlige konsekvenserne kan være for din virksomhed. Nedenfor definerer vi, hvad hvert risikoniveau kan betyde med hensyn til it-systemer.

Lav risiko

Mellem risiko

Høj risiko

Derudover kan du også benytte lejligheden til at tale med din virksomhed om, hvor mange ressourcer der skal bruges til at løse disse problemer, hvis de nogensinde opstår. Vores skabelon giver dig mulighed for at udfylde de økonomiske konsekvenser, men du kan også tænke på, hvor lang tid der skal bruges på at løse problemet.

Da risici og konsekvenser er forskellige fra virksomhed til virksomhed, anbefaler vi stærkt, at du tilpasser dette afsnit efter dine behov. Hvis du eksempelvis er en del af en virksomhed, hvis indtægter udelukkende stammer fra webshoppen på hjemmesiden, anses nedbrud af hjemmesiden for at være en meget høj risiko med stor konsekvens. Hvis din hjemmeside derimod fungerer som en landingpage uden stor funktionalitet eller effekt på din daglige drift, så er nedbrud af hjemmesiden en lavere risiko, da konsekvenserne er lavere.

Trin 2: List alle jeres aktiver

Udfyld risikovurderingen

For at lave risikovurderingen skal der udfyldes følgende kolonner:

Aktiver

Når vi taler om aktiver i denne sammenhæng, mener vi hovedsageligt aktiver relateret til IT i din virksomhed. Det kan omfatte hardware, såsom bærbare computere og mobile enheder. Derudover kan det omfatte de IT-tjenester, I bruger i din virksomhed, såsom interne kommunikationssystemer (f.eks. Microsoft Teams of Slack) eller kundeorienterede tjenester som virksomhedens hjemmeside. Udover IT-aktiver har vi inkluderet medarbejdere som et aktiv, da de har stor indflydelse på jeres IT-sikkerhed. Vi skriver om dette i vores e-bog, hvis du vil læse mere.

Hvis I gør brug af asset-management, kan I bruge dette dokument som reference. Man behøver ikke at angive alle aktiver, men man kan vælge at starte med at fokusere på de vigtigste eller mest almindeligt anvendte.

Kort beskrivelse

Denne kolonne bruges til at beskrive, hvad der menes med det aktiv, der er angivet. Nogle gange er aktiverne selvforklarende, og andre gange kræver de uddybning eller yderligere definition. Når vi f.eks. angiver medarbejdere som et aktiv, kan vi definere dem som både fuldtids- og deltidsansatte. Du kan også definere, hvem der ikke er omfattet, f.eks. konsulenter, der fungerer som eksterne rådgivere for virksomheden, men som ikke officielt er en del af virksomheden.

Afdeling

Definering af hvilken ejeren af aktivet er vigtig, da den forbereder virksomheden på, hvem der er ansvarlig, hvis problemer skal løses. Til at starte med kan det give dig en bedre forståelse eller en genopfriskning af hver afdelings eller underafdelings ansvar. Derudover hjælper det virksomheden med at reagere hurtigere, når der er en risiko.
Vi anbefaler dog ikke at bruge for meget tid på denne kolonne, da ejeransvar nemt kan overlappe mellem afdelinger og ændre sig over tid. Vi anbefaler, at du får en generel forståelse og er fleksibel, når problemet skal løses.

Trin 3 - Lav liste over trusler og sårbarheder

Trussel

Truslen er en potentiel skade, der kan ske på et aktiv, og som kan påvirke virksomheden negativt. Hvis der tidligere har været sikkerhedsbrud eller hændelser, kan du angive dem i denne kolonne. For eksempel kan ransomware eller uautoriseret adgang til fortrolige data betragtes som en trussel.

Truslen ransomware er f.eks. tilstede, når personalet surfer på hjemmesider på deres arbejde. De kan ved et uheld falde over en falsk hjemmeside og ved et uheld installere ransomware, der låser adgang til virksomhedens filer og computer, indtil de betaler de cyberkriminelle personer bag.

Sårbarhed

Sårbarheder kan beskrives som årsagen til truslerne. Når det kommer til ransomware, kunne det for eksempel være, at personalet kunne være faldet over en falsk hjemmeside ved et uheld og ved fejlagtigt installeret ransomware. Når det kommer til uautoriseret adgang til fortrolige data, kan det være, at nogen har glemt at lukke visse vinduer under et videoopkald og ved et uheld har vist kunden intern kommunikation eller andet fortrolig data.

Dette afsnit er ikke beregnet til at give bestemte personer skylden, men snarere tænke på teoretiske scenarier og årsagerne til, at en trussel kan opstå. Ved at forstå, hvordan truslerne opstår, kan vi

a) forstå, hvor stor truslen er,
b) sandsynligheden for, at den sker, og
c) tænke på måder at undgå dem proaktivt

Udførte tiltag

I dette afsnit skriver du, om I allerede har gjort noget for at imødekomme denne risiko. Hvis du for eksempel har oplevet at miste vigtige filer før og har prøvet at afhjælpe det ved hjælp af en cloud-løsning til sikkerhedskopiering, er det en udført handling.

Trin 5: Vurdér risici

Konsekvens

Efter at have noteret truslerne og oplysninger om dem, kan du bedre vurdere, hvor store konsekvenserne er i tilfælde af, at disse trusler skulle opstå i virkeligheden. Det er naturligvis en subjektiv vurdering, så det er en god ide at drøfte den med kolleger. Ofte vil man opleve, at der kan være forskellige perspektiver på konsekvenserne. Måske vil marketingafdelingen sætte en “HØJ” konsekvens på noget, der sker på virksomhedens hjemmeside, da det kan påvirke salget, hvor IT-afdelingen sandsynligvis ikke vil se det på samme måde, da det ikke ville påvirke virksomhedens daglige drift. Derfor er det vigtigt at få en masse forskellige perspektiver.

Sandsynlighed

Ikke alle risici er skabt lige. Nogle situationer kan sandsynligvis ske et par gange om måneden, mens andre måske kun sker en gang hvert andet år. Ved at vurdere sandsynligheden for trusler, kan du forstå, hvordan du skal prioritere dem, og måske udelade nogle, som ikke er realistiske.

Forslag til øget kontrol/sikkerhed

Efter at have udfyldt de andre afsnit, vil du have fået en bedre forståelse af hvert aktiv og de risici, der er forbundet med dem. Herfra kan du bruge dette afsnit til at skrive forslag til øget kontrol/sikkerhed. Disse forslag giver mening at føre ud i praksis, hvis konsekvensen og risikoen tilsammen er høj ved et given aktiv.

Din risikovurdering er udfyldt!

Når alle afsnit er udfyldt med de aktiver og trusler, som du kan komme i tanke om, vil du have et bedre overblik over risiciene. Ud fra risikovurderingen kan du se, hvilke trusler der er mest sandsynlige, og hvilke konsekvenser de kan have, hvis de opstår. Vi anbefaler, at man genbesøger sin risikovurdering, da trusler og sårbarheder udvikler sig løbende.

Vi håber, at dette blogindlæg har hjulpet dig med at forstå, hvad en risikovurdering er, og hvordan man selv laver en.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Contact us

You are always welcome to contact us
for an initial and informal chat about your cyber security challenges.

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..