NorthGRC Blog | GRC, compliance og cybersikkerhed

4 ansvarlige genveje til god nok risikovurdering

Skrevet af Jakob Holm Hansen | Apr 16, 2012 4:45:00 AM

Standarder for it-sikkerhed har mindst to kendetegn: 1) De kan kurere eventuelle søvnproblemer, og 2) de beskriver en relativt perfekt verden, hvor de ansvarlige for it-sikkerhed har god tid, og hvor der er ressourcer nok til at analysere behov og dokumentere beslutninger.

 

Nu fik jeg måske startet dette indlæg lidt sarkastisk, men jeg er faktisk en relativ stor tilhænger af standarder og "best practice"; der er ingen grund til at genopfinde den gode ting. Det med kedeligheden i standarderne kan jeg ikke gøre noget ved direkte, men jeg har nogle forslag til ansvarlige genveje til it-risikovurderinger, som kan hjælpe med en pragmatisk efterlevelse af ISO 27001, den standard med mest medvind i Danmark. Genvejene hjælper dig med at spare tid.

 

Genvej 1: Fokuser kun på de vigtigste aktiver

 

Første genvej hedder ikke "alle aktiver". Et aktiv i 27001 er ret bredt defineret som alt, der har værdi for organisationen, og standarden siger: "Identificer aktiver inden for scope." Jeg kender ingen virksomheder, der har kortlagt samtlige aktiver.

 

Du starter med at vurdere de vigtigste forretningsprocesser, ikke alt muligt andet. Og da slet ikke alt med et ip-nummer, hvis nogen hos jer skulle få den tanke. I kan senere udvide, så de services eller systemer, der understøtter jeres forretningsprocesser, også bliver vurderet.

 

Du og dine kollegaer har sikkert allerede en god fornemmelse for, hvilke forretningsprocesser der betyder mest. Genvejen her er et væsentlighedskriterie, så I får færre vurderinger og bruger tiden på de væsentligste.

 

Genvej 2: Vurder kun relevante trusler

 

Anden genvej er ikke alle trusler. Flere risikostandarder indeholder ret omfattende trusselskataloger. Hvis I selv holder en brainstorm om alt det, der kan gå galt, opdager I hurtigt, hvorfor trusselskataloger bliver (for) lange.

 

Genvejen her går ud på, at I deler aktiverne op i typer og kortlægger, hvilke trusler der har relevans for hvilke aktivtyper. Eksempelvis er det ikke alle typer aktiver der kan brænde. Forretningsprocesser, it-services, logiske servere m.m. brænder ikke. Det er kun de mere fysiske af slagsen, som hardware og bygninger.

 

Og selv inden for de fysiske aktiver kan I lave ansvarlige genveje ved kun at vurdere truslen fra brand på et datacenter, ikke enkeltvis på alt det udstyr, der også står i datacenteret. Genvejen her giver færre trusselsvurderinger.


Arbejder du med ISO 27001?


En god risikovurdering er fundamentet i enhver ISO 27001-certificering. Lær mere om, hvad standarden kræver – og hvordan du lever op til kravene uden at overkomplicere det.

Læs om ISO 27001-compliance med NorthGRC →

 

Genvej 3: Brug op- og nedarvning


Op- og nedarvning er navnet på den tredje genvej. God skik og standarder foreskriver, at man skal lave både BIA ("Business Impact Assessments" eller forretningskonsekvensvurderinger) og sandsynlighedsvurderinger. Sidstnævnte udføres ved at estimere jeres aktivers sårbarhed over for de relevante trusler. I praksis ved jeg, at virksomheder har mere end svært ved at lave begge former for vurderinger på rigtigt mange aktiver. Det er vanskeligt at lave en sårbarhedsvurdering på fx en forretningsproces, og det er også vanskeligt at lave en forretningskonsekvensvurdering på en server.

 

Løsningen på denne udfordring er at kortlægge afhængighederne mellem aktiverne. I eksemplet skal du skrive på forretningsprocessen, hvilke andre aktiver den afhænger af, altså aktiver, der understøtter processen. Konsekvensvurderingen laves så "blot" på forretningsprocessen, og sårbarhedsvurderingerne laves "blot" på de understøttende aktiver.

 

Forretningskonsekvensen arves nedad til de understøttende aktiver og sårbarhedsvurderingerne arves opad til forretningsprocessen fra de underliggende systemer. På den måde giver denne genvej færre konsekvensvurderinger og færre sårbarhedsvurderinger, samtidig med at det rent faktisk kan lade sig gøre at udføre de vurderinger, som der er behov for.

 

Vil du strukturere din risikostyring mere effektivt?


NorthGRC giver dig et samlet overblik over dine aktiver, trusler og risici – og hjælper dig med automatisk at holde styr på op- og nedarvning, så du slipper for manuelt arbejde i regneark.

Se hvordan NorthGRC understøtter risikovurdering →

 

Genvej 4: Start med de overordnede vurderinger

 

Fjerde og sidste genvej hedder overordnede vurderinger først. I en konsekvensvurdering forholder man sig typisk til om en sikkerhedshændelse forventes at påvirke indtægter, omkostninger, image eller kontrakt- og lov-efterlevelse. Fjerde genvej er at vurdere disse forhold samlet, ikke individuelt.

 

Det samme gælder sårbarhedsvurderinger, hvor beskyttelsesniveauet for flere trusler kan vurderes samlet. Indrømmet, det er en genvej, og du kan sikkert finde eksperter, der siger, at det ikke er godt nok. Jeg mener, at I efterfølgende får masser af muligheder for at raffinere og vurdere de aktiver mere detaljeret, hvor det giver mening. Derfor er denne genvej helt ansvarlig, især hvis jeres organisation endnu ikke har gjort risikovurdering til en tilbagevendende, regelmæssig rutine.

Her er en kort opsummering af genvejene:

  1. Ikke alle aktiver

  2. Ikke alle trusler

  3. Op- og ned-arving

  4. Overordnede vurderinger først

 

Risikovurdering er en proces – ikke et projekt

 

Husk, at risikovurdering og risikostyring – som alt andet sikkerhed – er en proces, ikke et projekt eller et øjebliksbillede. Den viden kan du bruge til at køre risikovurderingerne lempeligt i begyndelsen og bruge genvejene i stor udstrækning. Senere kan du raffinere og præcisere ved fx at medtage flere aktiver, flere trusler, involvere flere personer (flere vurderinger) og/eller lave mere detaljerede vurderinger.

 

Med disse genveje sparer du tid og/eller kan nå i mål med ISO 27001-efterlevelse med mindre indsats. Helt ansvarligt.

Klar til at gøre risikovurdering til en tilbagevendende rutine?

NorthGRC hjælper dig med at strukturere og gentage dine risikovurderinger – pragmatisk og ISO 27001-kompatibelt. Uanset om du starter fra bunden eller allerede er i gang, er vi klar til at hjælpe.

Book en gratis demoLæs om platformen