Risikovurdering

• Risikovurdering
  • Definisjon av risiko
  • Risikovurderingsprosessen
  • Risikovurdering i driftsrollen

Risikovurdering er den systematiske prosessen for å identifisere, analysere og evaluere risikoer knyttet til organisasjonens IT-systemer og informasjon. Målet er å forstå hvilke trusler organisasjonen står overfor, hvor sårbare systemene er, og hva konsekvensen av et brudd vil være.

Dette danner grunnlaget for å ta informerte beslutninger om hvilke sikkerhetstiltak som skal prioriteres.

Definisjon av risiko

I IT-sikkerhet er risiko definert av samspillet mellom tre faktorer:

risiko = trussel x sårbarhet x konsekvens

• Trussel (Threat): Noe som kan forårsake skade på systemet eller data (f.eks. ransomware, ansattfeil, strømbrudd).
• Sårbarhet (Vulnerability): En svakhet i systemet eller prosedyrene som en trussel kan utnytte (f.eks. uoppdatert programvare, svake passord, manglende kryptering).
• Konsekvens (Impact): Den skaden som oppstår dersom trusselen utnytter sårbarheten (f.eks. økonomisk tap, omdømmetap, brudd på GDPR).

Risikovurderingsprosessen

Risikovurderingen er en strukturert prosess som ofte gjennomføres periodisk (f.eks. årlig) eller når det skjer store endringer i infrastrukturen (f.eks. migrering til skyen).

1. Etablering av omfang (Scope):
   • Definere hvilke systemer, prosesser og data som skal vurderes (kalles ofte aktiva). Et aktivum kan være en databaseserver, kundedata, eller til og med en kritisk forretningsprosess.
2. Trussel- og sårbarhetsidentifikasjon:
   • Trusselanalyse: Systematisk liste opp alle relevante trusler (interne, eksterne, tilsiktede, utilsiktede).
   • Sårbarhetsanalyse: Identifisere tekniske svakheter (f.eks. manglende patcher) og organisatoriske svakheter (f.eks. dårlig opplæring, manglende rutiner/dokumentasjon).
3. Analyse av risiko:
   • Dette er kvantifiseringen. Man vurderer sannsynligheten for at trusselen inntreffer, og konsekvensen for organisasjonen dersom det skjer.
   • Risikoen plasseres ofte på en risikomatrise (liten/stor sannsynlighet mot lav/høy konsekvens) for å visualisere hvilke risikoer som krever umiddelbar handling.
4. Evaluering og behandling av risiko (Risk Treatment):
   • Sammenligne den identifiserte risikoen med organisasjonens akseptkriterier (hva er vi villige til å leve med?).
   • Deretter velges en behandlingsstrategi:
     • Redusere/Mitigere: Implementere sikkerhetstiltak (kontroller) for å senke sannsynligheten eller konsekvensen (f.eks. installere en brannmur, innføre MFA).
     • Akseptere: Leve med risikoen fordi kostnaden for tiltaket er for høy.
     • Overføre: Flytte risikoen til en tredjepart (f.eks. tegne forsikring).
     • Unngå: Stanse aktiviteten som forårsaker risikoen.

Risikovurdering i driftsrollen

Risikovurdering er ikke bare en ledelsesoppgave; IT-driftere bidrar med kritisk informasjon og implementerer tiltakene.

• Drifters bidrag: IT-driftere er eksperter på systemene og har derfor den beste innsikten i tekniske sårbarheter (f.eks. utdatert maskinvare, EOL-programvare som skaper teknisk gjeld). De bidrar med realistiske tall for sannsynlighet og konsekvens.
• Kontinuerlig overvåking: Risikovurdering er ikke en engangsjobb. Driftere må kontinuerlig overvåke systemer for nye sårbarheter (f.eks. nye null-dagers angrep) og dokumentere endringer i risiko.
• Implementering av kontroller: Når et kontrolltiltak velges (f.eks. krav om kryptering av sensitive data), er det IT-drifteren som er ansvarlig for å implementere og vedlikeholde dette tiltaket i henhold til beste praksis og risikostyringsplanen.

Gjennom risikovurdering sikrer IT-driften at ressursene brukes der de gir størst effekt for organisasjonens sikkerhet.

Relaterte kompetansemål

• planlegge, innføre og dokumentere IT-systemer slik at de er stabile, sikre og effektive gjennom hele livssyklusen
• bruke og gjøre rede for rutiner og systemer for avviksrapportering og vurdere tiltak for håndtering av avvik
• reflektere over og anvende virksomhetens retningslinjer for datasikkerhet og personvern i virksomheten
• vurdere og gjøre rede for konsekvensene ved sikkerhetsbrudd for virksomheten, samfunnet og individet og foreslå tiltak
• gjøre rede for og følge virksomhetens rutiner knyttet til anskaffelser, implementering, oppsett, drift og avhending av utstyr
• dokumentere og reflektere over hvordan eget utført arbeid understøtter virksomhetens drift, tjenester og produkter
• gjennomføre opplæring og veiledning i relevante IT-løsninger tilpasset oppdrag, målgruppe, kanal og teknologi
• anvende gjeldende regelverk for personvern og informasjonssikkerhet i eget arbeid og reflektere over konsekvensene hvis regelverket ikke følges
• utforske og bruke metoder for feilsøking, utføre utbedringer og dokumentere løsninger