Risikoanalyse

“Risici opstår, når du ikke forstår, hvad du laver”– Warren Buffett

 

 

Formål

Ved at arbejde med risikoanalyser som strategisk styringsværktøj identificerer I de vigtigste trusler og sårbarheder mod et givent område. Når I har det fulde billede, kan din virksomhed på et databaseret grundlag foretage en strategisk beslutning, om der skal foretages tiltag, der afhjælper de identificerede risici.

Udbytte af risikovurdering

Ved at identificere og prioritere risici opnår din virksomhed synlighed baseret på fakta, hvilket betyder en øget bevidsthed som i sidste ende kan afspejles økonomisk. I kan efter en risikoanalyse prioritere og vælge sikringsforanstaltninger, så I nedbringer risici til det niveau, som er acceptabelt for jer og som afspejler jeres økonomiske forventninger.
Samtidig får ledelsen og IT-afdelingen en fælles referenceramme og mål, så I nemmere kan definere jeres strategi og sammen arbejde effektivt sammen om udførelsen.

Øvrige fordele

  • Overblik over aktiver
  • Placering af ansvar
  • Dokumentation og mangler
  • Sikkerhedsforanstaltninger
  • Risikoprofil for hvert aktiv
  • Beredskab
  • Awareness
  • Ledelse og forretning (samspil og change management)
  • Forbedring af strategi
  • Besparelser

Områder

I kan foretage risikoanalyser indenfor forskellige områder af IT. Det kan være interne og eksterne systemer, drift, nyanskaffelser eller projekter.
Det vil altid give mest mening, hvis din virksomheder starter der, hvor jeres risici er størst.

Niveauer

Hvis din virksomhed ønsker at benytte sig af risikoanalyser, som en fast del af jeres strategi, så vil ledelsen stå for forankringen og have den overordnede risikovurdering. Strategier og styringsprincipper vil derfor indgå som en fast bestanddel af din virksomheds måde at arbejde på.
På det taktiske niveau gentages den metodiske vurdering af risici, som ligger til grund for det valgte niveau af sikkerhed og på det operationelle niveau, vil det blive integreret som en del hverdagen f.eks. i forbindelse med ændringsstyring.

Fremgangsmåde

Det starter altid med en brainstorm, hvor du spørger dig selv, hvad er det værste der kan ske, hvordan det kan ske indenfor et givent område samt sandsynligheden for, at det vil ske.
Derefter skal der være en konsekvensanalyse af forskellige hændelser, hvor du skal arbejde struktureret for at identificere sandsynlighed, trusselsniveauet, sårbarheder og sætte det op imod de eksisterende modforanstaltninger – derudover kigger du også på den potentielle konsekvens og omkostning, hvilket alt sammen giver den totale risikovurdering indenfor området.
Når de forskellige hændelser er prioriteret, kan din virksomhed arbejde videre med de områder, hvor der er størst risiko og størst potentielt omkostning.

Trusselsbilledet

Formålet med at vurdere truslen indenfor et givent område er at identificere og kortlægge potentielle trusler, angrebsvinkler og sandsynligheden for, at det kan ske. Dette bliver indarbejdet på en konsekvensskala, som består af de prioriterede hændelser:

Konsekvensskala med fem trin

Konsekvens Beskrivelse
Skala Betegnelse
A Meget Alvorlig F.eks. Virksomheden taber kritisk data, der indebærer betydelige risici for virksomhedens fortsatte eksistens
B Alvorlig F.eks. Påvirker virksomhedens omdømme og troværdighed. Betragtelige økonomiske tab.
C Alvorlig F.eks. begrænset ressourceindsats til mitigering. Tab på XX DKK.
D Lav F.eks. Mindre økonomisk og/eller troværdig konsekvens.
E Meget lav Ubetydelig konsekvens

Sårbarhedsanalyse

Typisk vil der være tiltag, der allerede har en beskyttende effekt mod en given potentiel hændelse. Hvis din virksomhed har identificeret at hackerangreb er en potentiel trussel, så vil I sikkert allerede have Antivirus, Firewall og andre sikkerhedsmekanismer på plads, men det er muligvis ikke nok i forhold til trusselsbilledet, og derfor skal der kigges på øvrige områder, som kan skabe en mere holistisk sikkerhed.

Risikoprofil

Risikoprofilen er grundlæggende afhængig af seks parametre:

  1. I hvilken grad virksomheden er afhængig af IT-systemer i forhold til virksomhedens daglige drift
  2. I hvilken grad virksomheden gemmer følsomme personoplysninger såsom informationer om personers køn, seksualitet, politiske overbevisning, etnicitet, mv.
  3. I hvilken grad virksomheden gemmer forretningskritiske data, herunder patentansøgninger, intellektuelle rettigheder, følsomme persondata og forretningshemmeligheder.
  4. Branchen, som virksomheden opererer i (finanssektoren er eksempelvis traditionelt mere udsat end andre brancher).
  5. Virksomheder der ofte udveksler data med højeksponerede mål og/eller har software, som bliver benyttet af andre virksomheder/brugere.
  6. Størrelsen på virksomheden.

Risiko-pakker:

Lille pakke - 1 dag

  • Analyse af 1-2 kritiske systemer
  • Risikostyringsværktøj inkl. vejledning
  • Rapport

Pris: 12.000 DKK

Mellem pakke - 2 dage

  • Overordnet risikoanalyse af virksomheden
  • Analyse af 2-4 kritiske systemer
  • Risikostyringsværktøj inkl. vejledning
  • Rapport
  • Fremlæggelse af rapport
  • Træning i Risk Management
  • Aktivitetsplan

Pris: 22.000 DKK

Stor pakke - 4 dage

  • Overordnet risikoanalyse af virksomheden
  • Analyse af 3-6 kritiske systemer
  • Risikostyringsværktøj inkl. vejledning
  • Rapport
  • Fremlæggelse af rapport
  • Træning i Risk Management
  • Aktivitetsplan

Pris: 40.000 DKK

Interesseret i Risikoanalyse?
Udfyld nedenstående og vi vil kontakte dig.