Konsekvensanalyse af aktiver
2024
Konsekvensanalyse af aktiver er et vigtigt led i risikostyringen og har til formål at minimerekonsekvenserne ved et cyberangreb rettet mod virksomheden.
30. maj 2023
Modulet helt kort
Dette værktøj handler om at lave en målformulering, der kæder en konkret handling sammen med et konkret mål. Målformuleringen sætter retningen for videreudviklingen af cybersikkerhed i virksomheden, og gør det nemt at konstatere fremdrift.
Forudsætning for at bruge værktøjet
Det er en forudsætning for at bruge værktøjet, at virksomheden har gennemført en fælles prioritering af et område (fx en byggesten for cybersikkerhed), der skal sættes konkrete mål for.
Værktøjet tager afsæt i, at virksomheden har arbejdet med byggesten for cybersikkerhed.
Grundlæggende begreber
Som en del af dette værktøj bruges følgende definitioner: mål, handling og målformulering.
Mål og handling
Fordi der er tæt sammenhæng mellem mål og handling, så defineres de to begreber samtidig.
Man kan sige, at målet er dét, virksomheden forventer som resultat af en handling.
Målformulering
Det kan være svært at formulere meget konkrete mål, når virksomheden bevæger sig ud på nye områder, og det kan være svært at gennemskue, hvilke handlinger der opfylder målene.
Målformulering i dette værktøj kæder meget tydeligt én specifik handling sammen med ét specifikt mål. Målformuleringen er virksomhedens fælles bedste bud på, at netop denne handling leder til dette mål.
Indhold i målformulering
Målformulering for den kommende indsats om cybersikkerhed er én sætning, der sammenfatter:
- virksomhedens næste, konkrete handling for at styrke cybersikkerheden
- et konkrete mål, som virksomheden forventer at opnå med handlingen
Formatet for målformuleringen er: Hvis vi gør denne handling, Så opnår vi dette mål.
Målformuleringskort
Målformuleringen indskrives i følgende værktøj, der adskiller handlingen fra målet men kæder de to dele sammen i én sætning, der let kan deles og kommunikeres i virksomheden.
Til højre i målformuleringskortet kan virksomheden beskrive flere konkrete detaljer om, hvordan handlingen skal udføres for at opnå målet.
“Målformulerings-kort” af CyPro under licens CC BY-SA 4.0
Målformulerings-kort
Print-friendly version of the tool in large format.
Eksempler på målformuleringer
Eksempler på målformuleringer af forskellig slags, der kan konkretiseres endnu mere med henblik på konkrete værktøjer, kommunikationsformer, mål og rolle- og ansvarsbeskrivelser:
NÅR vi bruger et systematisk værktøj til at modellere sikkerhedstrusler med,
SÅ håndterer vi truslerne efter deres konsekvenser for virksomheden.
NÅR vi kommunikerer håndgribelige mål for cybersikkerhed, der betyder noget for forretningen,
SÅ gør alle medarbejdere og ledere i virksomheden, hvad de kan, for at opfylde målet.
NÅR vi giver en person ansvar for og ressourcer til at sætte sig ind i standarder,
SÅ får vi en cybersikkerhed, der passer til virksomhedens forretning.
Desto mere konkret handlingen er, jo nemmere er det at sætte et mål sammen med handlingen.
Praktisk information
Det er vigtigt, at der er repræsentanter fra både den tekniske ledelse og forretningsledelsen.
- Afsæt et møde af ca. 1 times varighed. Inviter de personer, der har deltaget i at lave analyserne af byggestenene (og prioriteringsdialogen). Hvis målformuleringen laves af 2 personer, så afkort mødet til ca. en halv time med denne tidsfordeling: pkt. 1-2: 15 min.; pkt. 3-6: 15-20 min.
- Print værktøjet til målformulering, og medbring 1-2 papirkopier pr mødedeltager
- Medbring post-Its og skriveredskaber
Trin-for-trin guide
1) Gennemgå sammen den byggesten/den indsats for cybersikkerhed, virksomheden har prioriteret som vigtigt at videreudvikle: er der nye informationer, der har relevans for målformuleringen? (5 min.).
2) Alle mødedeltagere laver individuelt mindst én målformulering til indsatsen i målformuleringskortet (10 min.).
a) Hver deltager får sin egen farve post-Its.
b) Hver deltager skriver Hvis vi gør… på en post-It og Så når vi dette mål… på en anden post-It og sætter dem i felterne på eget målformuleringskort, så de udgør én samlet sætning, jf. eksemplerne ovenfor.
3) Målformuleringerne præsenteres bordet rundt. Hver person præsenterer og begrunder sin samlede målformulering (Hvis… Så…), og lægger sit målformuleringskort på mødebordet. (15 min. afhængigt af antallet af deltagere).
4) Når alle har præsenteret, så tal om: Er der ligheder? Er der forskelle? (15 min.).
a) Post-Its med lignende mål og handlinger samles, et ark for ensartede mål og et ark for ensartede handlinger.
b) Hvis hele målformuleringer ligner hinanden, så kombineres de på et nyt fælles ark.
5) Beslut i fællesskab én målformulering for indsatsen for cybersikkerhed, tilpas evt. formuleringen, skriv den ind i et målformuleringskort, og besvar sammen spørgsmålene under ‘yderligere beskrivelse’ i målkortet (15 min.)
6) Afslut med et realitetstjek af den endelige målformulering: er handlingen et realistisk og konkret næste skridt, og kan målet iagttages?
Udbytte
Nytteværdien er opbygning af et fælles sprog om cybersikkerhed og videndeling mellem centrale interessenter i cybersikkerhed om, hvordan handlinger og mål kobles sammen i forbindelse med nye indsatser for cybersikkerhed.
Som en ekstra gevinst bliver det også nemmere at lære af den kommende indsats, fordi det kan konstateres, om netop denne handling ledte til det forventede mål eller ej.
Ekspertens råd
Det er en tydelig erfaring, at det kan være meget overraskende at lytte til kolleger, der italesætter, hvordan de selv forstår sammenhængen mellem handlinger og mål for en konkret indsats. Ofte antager vi, at vi er mere enige om sammenhængen mellem handlinger og mål, end vi i realiteten er.
Kendskabet til kollegernes forståelse af sammenhæng mellem mål og handlinger for nye indsatser med cybersikkerhed gør det nemmere at have en fælles og acceptabel forandringsproces med relevante og forståelige begrundelser.
Næste skridt
Når det konkrete næste skridt for cybersikkerhed er klart sat op i en målformulering, er målformuleringen en trædesten for at sætte de øvrige tre byggesten til cybersikkerhed sammen med den prioriterede byggesten i en realistisk plan for virksomheden – en roadmap for cybersikkerheden.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0
