28. marts 2025
Dette læringsmodul er en del af byggeblokken:
I dette modul præsenteres de sidste trin i risikostyringsprocessen, hvor oplysningerne fra tidligere trin samles, så I får mulighed for at prioritere, hvor I skal bruge kræfter på at afværge trusler.
Modulet kræver ikke forudgående kendskab til risikovurdering for datasikkerhed, men man skal have læst de tidligere moduler i risikostyringsprocessen.
Når I har gennemført analysen af aktiver og trusselsanalysen skal indsigterne herfra samles i en afsluttende risikoanalyse, som derefter kan bruges i jeres prioritering.
I dette modul præsenteres de sidste trin i risikostyringsprocessen. Her samles de indsigter, der fremkom under analyserne af aktiver og trusler, og der udregnes en risikoscore.
Den sidste del af risikostyringsprocessen indeholder følgende trin:
De tre opgaver, der beskrives i dette modul, stiller en række forskellige krav.
Selve risikoanalysen er en ret simpel proces, der kan udføres af én person eller i visse tilfælde være helt automatiseret. Aktiviteten behøver ikke at blive afholdt som en workshop, men resultatet skal deles med dem, det er relevant for.
Risikovurdering handler i bund og grund om at beslutte, hvilke risici der skal håndteres, og hvilke der skal accepteres. Derfor er det vigtigt at involvere personer, der har bemyndigelse til at træffe sådanne beslutninger, dvs. produkt-/risikoejerne. Som før nævnt behøver man ikke afholde en workshop, men hvis der er flere interessenter involveret, kan en workshop være nyttig, så man kan få aftalt det acceptable risikoniveau.
Risikohåndtering handler om at finde ud af, hvordan en risiko skal håndteres. Det kræver både beslutningskompetence og personale med en teknisk forståelse af emnet.
Risikohåndteringen vil i de fleste tilfælde blive uddelegeret til et lille (teknisk) team, som skal komme med mulige løsninger. Risikoejeren skal derefter godkende den foreslåede håndtering.
1) Risikoanalyse
Før I går i gang med risikoanalysen, skal I have være igennem de to forudgående moduler, dvs. analyse af aktiver og trusselsanalyse.
Med analysen af aktiver har I fået i et dokument, der beskriver de vigtige aktiver (dvs. data) og sikkerhedskrav omkring dem (dvs. hvor vigtigt det er at beskytte fortroligheden, integriteten og tilgængeligheden af hvert enkelt aktiv).
Med trusselsanalysen har I fået i en oversigt over trusler mod systemet, en vurdering af, hvor sandsynlige de er, og hvilke aktiver det vil have en konsekvens for (og hvordan), hvis truslen manifesterer sig.
Risikoanalyse går ud på at kombinere ovennævnte indsigter i en risikoscore, som derefter bruges som grundlag for en prioritering. Denne score beregnes ofte som en produkt af sandsynligheden og konsekvensen, dvs. sandsynlighed * konsekvens = risiko, men man kan også beregne den på andre måder. Valget af beregningsmetode har betydning for risikoscoren:
Det betyder, at ved addition fremhæves kritiske trusler – fx en risiko med konsekvens Meget høj og sandsynlighed Meget usandsynlig. Omvendt resulterer multiplikation i en større spredning mellem lav og høj risiko og er den mest anvendte tilgang.
Dette anskueliggøres i følgende risikomatrix:
Den enkleste metode at lave en risikoanalyse på er at tage listen med identificerede trusler og for hver trussel beregne risikoen som konsekvens * sandsynlighed. Konsekvensen af truslen kan findes ved at se på typen af sikkerhedsbrud (dvs. fortrolighed, integritet eller tilgængelighed), hvilke aktiver der berøres samt sikkerhedskravene omkring de berørte aktiver. Hvis en trussel fx er et brud på fortroligheden af to aktiver med et sikkerhedskrav for fortrolighed på henholdsvis 2 og 4, vil den samlede konsekvens være 4 (den højeste af de to konsekvenser). Hvis den samme trussel har en sandsynlighed på 2, vil risikoen være 8 = (2 * 4).
Under trusselsanalysen kan der være identificeret en del trusler, der ligner hinanden. Dem kan man med fordel gruppere i én kategori. Fx kan trusler, der resulterer i Denial of Service, grupperes under en "Denial of Service-risiko. Når man gør det, skal den højeste individuelle risikoscore anvendes.
Det er vigtigt at bemærke, at man ikke behøver beregne den samlede risikoscore så præcist som vist i eksemplet. Hvis der er usikkerheder i den forudgående analyse af aktiver og i trusselsanalysen – fx hvis konsekvensen skønnes at være 2-3 – kan dette overføres til den samlede risiko, som så bliver et risikointerval i stedet for en enkelt værdi.
2) Risikovurdering
Når risikoscorerne er beregnet, er næste skridt at diskutere, hvad der skal forbedres. Det skal sikre, at truslerne bliver håndteret korrekt og ensartet, og at der opnås et acceptabelt risikoniveau.
Processen er ret enkel, da det blot er et spørgsmål om at gentage de identificerede risici og beslutte, om risikoscoren er over eller under tærsklen for acceptabel risiko:
3) Risikohåndtering
Når de kritiske risici er blevet identificeret, er det næste og sidste skridt at diskutere og aftale en passende håndtering. Generelt er der fire risikohåndteringsstrategier, der præsenteres og beskrives i figuren nedenfor. Da risikohåndtering er en løbende proces, er det meget vigtigt, at ledelsen sætter et klart mål for at opnå tilstrækkelig sikkerhed og et acceptabelt risikoniveau.
Det mest almindelige er at forsøge at reducere risikoen. Her skal I overveje, om der kan implementeres sikkerhedskontroller (eller andre ændringer), så risikoen reduceres til et niveau, der er acceptabelt for teamet og organisationen. Forebyggende foranstaltninger som fx stærkere autentificering eller kryptografi kan reducere sandsynligheden for en hændelse, mens overvågningsforanstaltninger som fx logning kan reducere konsekvenserne af en hændelse.
Risikodeling kan være en mulighed, især i forhold til hosting, hvor virksomheder ofte vælger en cloud-udbyder eller anden underleverandør til at stå for driften. Det er vigtigt at bemærke, at risikoen ikke forsvinder men snarere ændres til noget, som organisationen bedre kan håndtere – fx at risikoen ændres fra at være et teknisk anliggende til at være et kontraktligt anliggende.
Når risikoscoren ligger inden for risikoacceptniveauet, vil en risiko normalt bare blive accepteret. Der findes også tilfælde, hvor en høj risiko accepteres. Her er der måske ingen økonomisk fordelagtige foranstaltninger, men de potentielle gevinster er risikoen værd. Når man accepterer en risiko, bør man tage beslutningen op til revision, når betingelserne ændrer sig. Her er det vigtigt at udpege en person til at være ansvarlig for at holde øje med situationen og hejse flaget, når noget ændrer sig.
Risikoeliminering betyder fuldstændig at undgå risikoen. Det kan ses som et alternativ til risikoaccept, idet den mulige gevinst ved en risiko, der ikke kan elimineres, ikke er risikoen værd. I dette tilfælde fjernes/undgås den grundlæggende årsag til risikoen fuldstændigt, fx en problematisk grænseflade, funktionalitet eller aktivitet.
Når I har besluttet jer for, hvad en passende risikoforanstaltning skal være, mangler den blot at blive implementeret. Afhængig af den konkrete håndteringsstrategi, kan I starte implementeringen på forskellige måder og involvere forskellige mennesker. Når det er afsluttet, eller hvis der opstår problemer, skal de relevante interessenter informeres.
Resultatet af risikoanalysen og -evalueringen er en oversigt over trusler, deres sandsynlighed, konsekvens og samlede risiko, en ansvarlig risikoejer samt en beslutning om, hvorvidt risikoen skal håndteres eller accepteres.
Risikohåndteringsfasen handler om, hvordan en risiko kan håndteres og er mest informativ men producerer ikke noget konkret resultat. Udbyttet er dog, at risikoejerne får en række strategier til at håndtere risikoen.
Gennem hele processen – især første gang – er det en god idé at være lidt skeptisk over for resultaterne. Hvis noget ser forkert eller inkonsekvent ud – fx hvis en risiko ser meget lavere eller højere ud end forventet – bør årsagen findes, og de underliggende antagelser skal valideres på ny.
Det er almindeligt, at det første valg af metode (under etablering af kontekst) vil resultere i, at risici enten ser for kritiske eller for banale ud i forhold til risikoacceptniveauet. Det kan derfor være en god idé at revurdere værdierne efter afslutningen af vurderingen. Desuden er det vigtigt at huske, at relative risikoscorer i de fleste tilfælde er vigtigere end absolutte risikoscorer, dvs. fokus bør være på at håndtere de største risici, uanset hvad den konkrete risikoscore er.
Når der er aftalt en række passende risikoforanstaltninger, skal de implementeres, hvilket kan gøres på forskellige måder afhængigt af organisationen. Modulet Udviklingsprocessen beskriver, hvordan I styrer den agile proces.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0
Få dit certifikat for denne færdige byggeblok. Anmod blot om certifikatet via certifikatknappen, og vi sender dig det personlige certifikat.
