Modulet helt kort 

Modulet er en indføring i risikostyringsprocessen. Det er et effektivt værktøj til at kortlægge sikkerhedstrusler og sårbarheder, som jeres system, netværk og data er udsat for, så I kan vurdere konsekvenserne af et eventuelt cyberangreb.  

I behøver ikke have forudgående kendskab til risikovurdering inden for datasikkerhed for at anvende modulet. 

Risikostyring

Et cyberangreb er et målrettet og ondsindet forsøg på at få adgang til en virksomheds eller persons systemer. Hackere kan have forskellige motiver som fx tyveri af oplysninger, økonomisk gevinst, spionage eller sabotage. Hackere skifter hele tiden taktik, så truslerne mod cybersikkerheden bliver konstant mere sofistikerede. Men ved at gennemføre en risikovurdering, hvor man får viden om potentielle risici, kan man som virksomhed få kortlagt de vigtigste trusler og minimere risikoen for og konsekvensen af en hændelse. Selvom dette modul handler om risikostyring ved cyberangreb, kan metoden også anvendes til at forbedre den overordnede modstandsdygtighed i systemerne. 

Formålet med risikostyring

Risikostyring handler om at kortlægge, analysere og vurdere de risici, som virksomhedens informationssystemer og data er udsat for. Formålet med risikovurderingen er at få afdækket eventuelle sårbarheder og trusler, så man kan lægge en plan for, hvordan de pågældende risici skal håndteres, så man kan beskytte virksomhedens aktiver. 

Dette modul er en sammenfatning af risikostyringsprocessen og har til formål at give jer et overblik over hele processen. Modulet henviser til andre moduler og værktøjer, hvor hvert trin uddybes.  

Disse trin indgår i risikostyringsprocessen:

1. Kontekstetablering
   Start med at afdække, hvilket system I vil vurdere, formålet med vurderingen, og hvem der skal inddrages i processen.  
2. Systemmodellering
   Lav en model over det valgte system, hvor I kortlægger de enkelte komponenter og deres afhængigheder. Derefter kortlægges, hvilke trusler der kan være mod systemet.  
3. Kortlægning af aktiver
   Kortlæg alle aktiver, der er relevante for det system, I gennemgår.  
   • 3a. Analyse af aktiver
     Analyser konsekvensen for hele systemet, hvis aktivet er udsat for en hændelse.
4. Kortlægning af trusler
   Kortlæg mulige trusler ved at se på, hvor fx et cyberangreb kunne finde sted. 
   • 4a. Trusselsanalyse
     Vurder den potentielle konsekvens, som en trussel vil have på jeres system (dvs. hvilke aktiver bliver ramt) og vurder sandsynligheder for, at det sker.
5. Risikoanalyse
   På baggrund af kortlægningen af aktiver og trusler vurderes den samlede risiko ift. sandsynlighed og konsekvens.  
6. Risikovurdering
   Beslut om den fundne risiko skal afhjælpes eller accepteres.
7. Risikoforebyggelse
   Iværksæt passende risikoforanstaltninger for de risici, der skal forebygges.  

Før man indleder en risikostyringsproces er det vigtigt at have styr på en række vigtige begreber, som bruges under processen. 

"Risikohåndtering" af CyPro under licens CC BY-NC-ND

Vigtige begreber

• Aktiver: Et aktiv er alle former for data, udstyr eller andre komponenter i virksomhedens system, som har værdi – typisk, fordi de indeholder følsomme oplysninger eller kan bruges til at tilgå sådanne oplysninger.  
  
  
• Trusler: En trussel er en hændelse, som kan have en negativ indvirkning på et aktiv – for eksempel, at det går tabt, bliver afbrudt, koblet af internettet, eller at  uautoriserede får adgang til det.  
  
  
• Trusselsaktør: En trusselsaktør er en enkeltperson, gruppe eller organisation, der udfører handlinger, hvor sårbarheder udnyttes til at skade et aktiv. Trusselsaktører kan være cyberkriminelle, insidere med onde hensigter, statslige aktører eller opportunistiske hackere. Deres motiver kan være økonomisk vinding, spionage, forstyrrelser, sabotage m.m.  
  
  
• Risikostyring: Risikostyring beskriver de aktiviteter, der er en del af en virksomheds arbejde med risikohåndtering.  

Praktiske oplysninger

Generelt anbefales det at involvere en bred vifte af nøglepersoner i analysen. Typisk er forretningsforståelse afgørende for at vurdere konsekvenser og kortlægge aktiver, mens teknisk ekspertise er vigtig for at vurdere sandsynligheden for, at en hændelse indtræffer.  

En risikovurdering udføres normalt som en række workshops. Her skal der bruges whiteboard/flipboard, tusser, post-its og penne. Hvor længe workshoppen skal vare, afhænger af kompleksiteten af det system, der skal vurderes. Vi foreslår at afsætte 1 time til hver workshop til at starte med. Dog kan der undervejs dukke nogle resultater op, der kræver yderligere undersøgelser efter workshoppen.  

Det anbefales at gennemføre de første trin af vurderingen (systemmodellering, kortlægning af aktiver og trusler) på papir/whiteboard fremfor at bruge en computer. Det giver alle deltagere mulighed for at deltage aktivt. De senere trin i analysen kan så gennemføres digitalt. 

Trin-for-trin vejledning

1. Kontekstetablering
   Det første trin i risikostyringsprocessen er kontekstetablering. I dette trin fastlægges den overordnede ramme, målsætningerne for vurderingen samt de relevante interessenter. Her fastlægges også risikovurderingsmetoden og det overordnede risikoacceptniveau. Dette trin er beskrevet mere udførligt i modulet Kontekstetablering.
2. Systemmodellering
   Efter at konteksten er etableret, skal der udarbejdes en skitse over det system, der skal vurderes. Her indtegnes systemets komponenter og deres afhængigheder samt dataflowet mellem komponenterne. Tag gerne udgangspunkt i eksisterende arkitektur- og dataflowdiagrammer. For at sikre, at alle deltagere i vurderingen har en forståelse af systemet, anbefales det at lave skitsen abstrakt til at begynde med. Dette trin er beskrevet mere udførligt i modulet Systemmodellering.
3. Kortlægning af aktiver
   Efter at have skitseret systemdiagrammet, skal de aktiver, der er omfattet af vurderingen, kortlægges og struktureres. Til aktiver hører alt, hvad der skaber værdi i systemet og er vigtigt for, at systemet kan fungere. Kortlægningen kan udføres på forskellige måder men omfatter typisk en brainstorm-workshop. Dette trin er beskrevet mere udførligt i modulet Kortlægning af aktiver.
   • 3a. Analyse af aktiver
     Efter kortlægningen af aktiverne skal det vurderes, hvor vigtige de enkelte aktiver er. I dette trin analyseres konsekvensen for systemet, hvis et aktiv udsættes for en hændelse. Dette trin er beskrevet mere udførligt i modulet Analyse af aktiver.
4. Kortlægning af trusler
   I dette trin er der fokus på at identificere de trusler og sårbarheder, der udgør en risiko for aktiverne. Trusler kan kortlægges på mange måder – fx som en brainstorm eller ud fra trusselkataloger. Dette trin er beskrevet i detaljer i modulet Kortlægning af trusler.
   • 4a. Trusselsanalyse
     Efter at have kortlagt truslerne vurderes sandsynligheden for, at en angriber kan udnytte truslen (sandsynlighed), hvilken type angreb der er tale om, og hvilke aktiver der påvirkes, hvis truslen udnyttes. Dette trin er beskrevet mere udførligt i modulet Trusselsanalyse.
5. Risikoanalyse
   Ovennævnte aktiviteter munder ofte ud i en ret omfattende liste over potentielle trusler, der kan håndteres. På grund af økonomi og ressourcer er det næppe muligt at forebygge alle trusler og sårbarheder. Ved at sammenholde oplysningerne fra kortlægningen af aktiver med trusselanalysen kan der beregnes en samlet risiko. Den samlede risikoscore tager både hensyn til den potentielle indvirkning af en hændelse og sandsynligheden for, at den vil forekomme. Dette (og det følgende) trin er beskrevet mere detaljeret i modulet Risikoanalyse og mitigering.
6. Risikovurdering
   Når risikoscorerne er udregnet, er det næste trin at vurdere, hvilke risici der skal adresseres (de kritiske risici), hvordan man gør det, og hvilke risici der skal accepteres. Dette sikrer korrekt håndtering og opfølgning af alle risici. Ved en simpel vurdering kan man fx forebygge alle de risici, der har en score over det acceptable risikoniveau og acceptere alle øvrige risici. Der kan i visse tilfælde være undtagelser fra denne regel. Dette emne diskuteres yderligere i modulerne Risikoanalyse og mitigering.
7. Risikoforebyggelse
   Når de kritiske risici er afdækket, skal der fastlægges en række passende foranstaltninger for hver trussel, og det næste og sidste trin i processen er at sikre, at foranstaltningerne bliver implementeret. Det kan man gøre på forskellige måder, afhængig af virksomhedens forhold og praksisser. Modulerne Risikoanalyse og mitigering beskriver, hvordan der kan iværksættes passende foranstaltninger. Modulet Udviklingsprocessen beskriver, hvordan denne agile proces kan gennemføres, mens Modenhedsdialog beskriver, hvordan aktiviteterne forankres på tværs af organisationen. Under alle omstændigheder er det vigtigt at udpege nogen til at være ansvarlig for hver forebyggende foranstaltning for at opnå en vellykket implementering. 

Udbytte

Resultatet af en grundig risikostyringsproces er, at I får kortlagt en række konkrete risici og foranstaltninger, som I skal have konstant fokus på. Det er afgørende for at kunne træffe kvalificerede beslutninger og foretage de rette investeringer for at beskytte virksomheden. Vurderingen er derfor et nyttigt værktøj, der hjælper jer med at forbedre informationssikkerheden, forhindre databrud og allokere de nødvendige ressourcer. Sidst men ikke mindst hjælper processen jer til at beskytte jeres kunders følsomme data og dermed fastholde kundetilliden. 

Ekspertens råd

Risikostyring er ikke bare en engangsforestilling men en løbende proces. Jeres systemer ændrer sig konstant, og det samme gør risiciene ift. informationssikkerheden. Ved at gennemføre regelmæssige risikovurderinger kan I overvåge det skiftende risikolandskab over tid og målrette jeres indsatsområder derefter. Risikostyring indebærer derfor, at risikovurderinger bør gennemføres regelmæssigt (fx årligt eller kvartalsvis), og når der sker større ændringer i organisationen (fx implementering af ny teknologi, omstrukturering af centrale forretningsprocesser, opkøb, fusion osv.).  

Når I har implementeret en risikostyringsproces og er blevet fortrolige med den, kan I udbrede processen til andre produkter og tjenester. I kan også gå et spadestik dybere i trusselsvurderingen og undersøge, hvordan man gennemfører en trusselsmodellering. 

Næste skridt

Det første trin i risikostyringen er etablering af kontekst. Det beskrives nærmere i modulet Kontekstetablering.

Når I har kortlagt og prioriteret risiciene, er det lige så vigtig at sikre, at den nødvendige forebyggelse bliver iværksat. Modulet Udviklingsprocessen beskriver, hvordan denne agile proces gennemføres. Modulet Modenhedsdialog beskriver, hvordan indsatserne forankres på tværs af virksomheden. Start med Modenhedsdialog. 

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0

CyPro