Modulet helt kort
Det første trin i risikostyringsprocessen er at etablere konteksten. Formålet er at få indsamlet de nødvendige interne og eksterne oplysninger til risikostyringsprocessen og sikre, at omfanget af risikovurderingen er tilpasset virksomhedens situation.
Etablering af kontekst
Etablering af kontekst er det første trin i risikostyringsprocessen. Her handler det om at fastlægge omfanget og rammerne for processen og definere målene for risikovurderingen.
Der er flere ting, der skal overvejes, når man etablerer konteksten for risikovurderingen, såsom scopet for vurderingen, relevante aktører, metode m.m. De viste værktøjer opsummerer det vigtigste, mens afsnittene nedenfor indeholder en mere detaljeret beskrivelse og et eksempel.
Den overordnede proces for etablering af kontekst indeholder:
-
- Grundlæggende krav
Start med at fastlægge scopet for risikostyringsprocessen. Her afdækkes, hvilket produkt der skal vurderes, og hvad formålet med vurderingen er. Desuden skal det besluttes, hvem der skal involveres i processen af både interne og eksterne aktører.
- Metode
Herefter vælges, hvilken metode der skal bruges til at vurdere risikoen, og det defineres, hvad risikoens konsekvens og sandsynlighed er. Med udgangspunkt i disse to værdier diskuteres det overordnede risikoniveau, som organisationen finder acceptabelt.
- Trusselsaktører
Til sidst finder I ud af, hvem I mener er de vigtigste trusselsaktører, og hvilken skade de kan forvolde på jeres organisation/system.
Praktiske oplysninger
Kontekstetableringen gennemføres normalt som en workshop. Det kan enten være som en selvstændig workshop eller som en del af risikostyringsworkshoppen. Det anbefales at inddrage forskellige fagligheder i processen, herunder ledelse og teknikere. Afsæt en time til at gennemføre kontekstetableringen.
Til workshoppen skal der bruges et whiteboard/flipover, tusser, post-its og penne. Medbring evt. en udskrift af kontekstetableringsværktøjet, og brug det som et arbejdsdokument til at visualisere jeres fælles forståelse af konteksten.
Det anbefales at gennemføre workshoppen med papir/whiteboard fremfor på en computer, så alle deltagere har mulighed for at bidrage.
Grundlæggende krav
Inden risikovurderingen påbegyndes, er det vigtigt at definere scopet for arbejdet. Begynd med at præcisere formålet med vurderingen, og hvad I ønsker at opnå. Det kan f.eks. være, at I vil identificere mulige sårbarheder og trusler mod et produkt, vurdere driftssikkerheden af en service eller have en plan for at håndtere og afhjælpe risici.
I kan bruge værktøjerne Grundlæggende krav til dette formål.
"Grundlæggende krav 1/2" af CyPro under licens CC BY-SA 4.0
Grundlæggende krav
Print-venlig version i stort format.
Trin-for-trin vejledning
Overvej disse hovedpunkter, når scopet for vurderingen skal fastlægges:
- Beslut, hvilke produkter og services der skal være omfattet af vurderingen, herunder tilhørende delelementer og brugere.
- Kortlæg virksomhedens primære forretningsmål, og find ud af, hvordan scopet for vurderingen hænger sammen med dem.
- Beslut hvad formålet med vurderingen skal være.
- Find ud af, hvilke love og regulativer der gælder for vurderingen, herunder EU’s databeskyttelsesregulativ (GDPR), NIS2 osv.
- Find ud af, hvilke aktører der skal inddrages.
Det er vigtigt at inddrage de rigtige aktører i processen, da deres input er vigtigt for at kunne kortlægge aktiver og trusler og for at kunne vurdere risikoen.
Det kan dels være interne aktører, herunder medarbejdere og ledelse, dels eksterne som f.eks. kunder eller investorer. Vi anbefaler at inddrage forskellige fagligheder, herunder både ledelse og teknikere, da det vil gøre det nemmere at kortlægge både de forretningsmæssige og tekniske aktiver senere.
Det er ikke sikkert, alle aktører behøver at blive inddraget i hele processen. Det anbefales at få afklaret fra starten, hvilke dele af processen hver aktør skal bidrage til. Desuden skal den enkelte aktørs ansvarsområder præciseres, afhængig af vedkommendes rolle og viden.
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
Udbytte
Nu har I et overblik over det system, der skal risikovurderes, hvorfor det skal vurderes, og hvem der skal inddrages i de forskellige trin af processen.
Metode
Endnu et vigtigt skridt i den indledende fase af risikovurderingen er at få fastlagt risikovurderingsmetoden, dvs. at finde ud af fremgangsmåden, risikoacceptniveauet samt risikoens konsekvens og sandsynlighed osv.
Der er flere tilgange til at vurdere risikoen, såsom en aktivbaseret tilgang, hvor man evaluerer organisationens aktiver, eller en trusselsbaseret tilgang, der evaluerer de forhold, der skaber risiko. Hver af tilgangene har styrker og svagheder, og valg af tilgang vil afhænge af, hvad I vil opnå, og af jeres organisations situation. Sørg for, at den valgte tilgang stemmer overens med de øvrige tilgange til risikostyring i organisationen.
"Metode" af CyPro under licens CC BY-SA 4.0
Metode
Print-venlig version i stort format.
Trin-for-trin vejledning
- Begynd med at definere betydningen af både konsekvens og sandsynlighed. I kan evt. skrive et par ord om den valgte metode i feltet bemærkninger.
- Derefter fastlægges risikoacceptniveauet, som er det overordnede risikoniveau, der anses for acceptabelt for en given periode. Risikoacceptniveauet bruges som et referencepunkt til at evaluere resultatet af risikoanalysen, dvs. til at afgøre, om en risiko er acceptabel eller ej. Desuden bruges det som grundlag for at beslutte, hvilke aktiviteter der skal udføres under risikobehandling, og til at følge op på, om den foreslåede risikobehandling er tilstrækkelig, eller om der er behov for yderligere aktiviteter.
- Risikoacceptniveauet evalueres på baggrund af konsekvensen og sandsynligheden for en trussel. Konsekvensen er den indvirkning på organisationen, det vil have, hvis truslen opstår, mens sandsynligheden handler om muligheden for, at truslen indtræffer. Det er vigtigt at fastlægge niveauerne for konsekvens og sandsynlighed og drøfte, hvad hvert niveau betyder for jeres organisation og forretningsmæssige mål.
- Til slut kan I fastlægge de ledelsesmæssige aktiviteter, som risikoejeren skal udføre.
Bemærk at der ofte allerede er implementeret visse risikokontroller, som kan påvirke konsekvensen og sandsynligheden. Beslut hvordan de eksisterende risikokontroller skal medregnes, f.eks. ved at indtænke dem under risikovurdering eller risikobehandling.
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
Udbytte
I har nu et overblik over risikovurderingsmetoden, som er central for kontekstetableringen, før I går videre.
Trusselsaktører
At kende sine trusselsaktører kan være en hjælp til at få identificeret trusler, der er rettet mod organisationen.
En trusselsaktør kan være en person, en gruppe eller en enhed, der udfører ondsindede aktiviteter for at gøre skade på en organisations IT-sikkerhed og data. En af de mest almindelige typer af trusselsaktører er cyberkriminelle. De går efter økonomisk gevinst ved at stjæle data og/eller følsomme oplysninger (f.eks. kreditkortoplysninger eller personoplysninger) ved hjælp af phishing-angreb, ransomware eller malware. Et andet eksempel er statsstøttede aktører, der understøttes af regeringer og udfører cyberspionage, sabotage eller andre offensive aktiviteter for at fremme en fremmed nations interesser.
Se illustration i værktøjet Trusselsaktører nedenfor.
"Trusselsaktører" af CyPro under licens CC BY-SA 4.0
Trusselsaktører
Print-venlig version i stort format.
Trin-for-trin vejledning
Lav en liste over de vigtigste trusselsaktører, I mener udgør en risiko for en given applikation/system, og beskriv de problemstillinger, der er forbundet hermed.
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
Udbytte
Et af de vigtigste trin i risikostyringsprocessen er at få etableret konteksten. Den skal skabe en fælles forståelse og intern forventningsafstemning omkring scopet, de omgivende faktorer samt formålet med processen, så I kan gennemføre de efterfølgende trin på en effektiv måde. I har nu en fælles referenceramme for de næste trin i risikostyringsprocessen.
Ekspertråd
Risikovurdering er en tilbagevendende proces og skal ikke kun gennemføres én gang. Det anbefales at gennemføre den mindst én gang om året eller hvert andet år. Overvej også at gennemføre en risikovurdering ved større ændringer, eller før der indføres nye processer, funktioner eller aktiviteter. Derudover bør der defineres en livscyklus for håndtering af risici, især ift. risici, der ikke håndteres med det samme.
Næste skridt
Etablering af kontekst er det første skridt i risikostyringsprocessen. Næste skridt er at undersøge det system, der skal gennemgås, og kortlægge de aktiver, der er vigtige for systemet/forretningen. Dette er beskrevet mere udførligt i Kortlægning af aktiver.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0