Pragmatisk Risikostyring: Din Guide til at Kortlægge Cyberrisici og Få Prioriteret Optimalt

Din Guide til Pragmatisk Risikostyring

I en verden, der bliver mere og mere digital, har virksomheders IT-systemer og data aldrig været mere uundværlige.

Dine digitale aktiver er essentielle for driften, produktiviteten og konkurrenceevnen, men de udgør samtidig også potentielle mål for cyberangreb.

Med stigende trusler som databrud, ransomware-angreb og andre cybertrusler, bliver cybersikkerhed og risikostyring stadig mere essentielle for alle virksomheder, uanset størrelse eller branche.

Men hvor starter du? Og hvilke løsninger bør prioriteres?

Denne guide vil give dig et indblik i vores pragmatiske tilgang til risikostyring, trin for trin.

Vi viser dig, hvordan et udgangspunkt i risiko og et afsæt i et bredt favnende framework, kan give dig et komplet overblik over jeres sårbarheder og cyberrisici.

På den måde får I opbygget et beslutningsgrundlag, der kan samle IT og ledelse til at få prioriteret optimalt og dermed få mest ud af jeres ressourcer.

Step 1: Identifikation af Kritiske Aktiver

Når vi har med cybersikkerhed at gøre, skal man huske, at ikke alle aktiver har lige stor værdi. Nogle er simpelthen mere afgørende for din virksomhed end andre.

Vi starter derfor med at identificere og prioritere de kritiske aktiver. Typisk i form af data og systemer.

Dette trin handler om at få en dybdegående forståelse for din organisations digitale landskab. Det involverer ikke kun IT-afdelingen, men også alle andre afdelinger i din organisation. Fra salg til HR, regnskab til kundeservice, hver afdeling har sin egen unikke rolle i den digitale infrastruktur.

Med samarbejde på tværs organisationen får du et helhedsbillede af dine digitale aktiver og de tilhørende processer.

Det næste trin er at klassificere disse aktiver baseret på, hvor kritiske de er for virksomheden.

Vi deler dem op i høj, mellem og lav prioritet. Højprioritetsaktiver er de aktiver, hvis kompromittering vil have direkte og alvorlige konsekvenser for din virksomhed. Mellem- og lavprioritetsaktiver er mindre kritiske, men stadig vigtige for den daglige drift.

Når du dykker ned i opgaven med at identificere og klassificere dine kritiske aktiver, begynder en ny klarhed at opstå.

Du vil begynde at forstå, hvilke konsekvenser et cyberangreb kan have for din organisation, som giver et pejlemærke for hvor fokus skal være for at beskytte og minimere risici.

Med et udgangspunkt i risiko kan du på denne måde bruge dine ressourcer mere effektivt.

Det er en pragmatisk øvelse i at identificere hvilke aktiver, der virkelig betyder noget for din virksomhed, så du kan prioritere at beskytte det vigtigste først.

Dette er den første milepæl på din rejse mod minimering af cyberrisici via pragmatisk risikostyring, som kan forme din strategi for cybersikkerhed fremadrettet.  

Eksempel på identifikation af kritiske aktiver

Her er et eksempel på hvordan en virksomhed har identificeret og prioriteret deres digitale aktiver.

Ved første øjekast virker det måske forsimplet og trivielt, men det giver en god kontekst til at kunne kommunikere, hvad man rent faktisk beskytter med sin cybersikkerhed.

Når man træffer beslutninger med en ikke-teknisk ledelse, kan et forsimplet overblik være guld værd.

Step 2: Vurdering af Sårbarheder

Når du har identificeret og prioriteret dine mest kritiske aktiver, er det næste skridt at forstå, hvor I er mest udsatte. Dette indebærer en detaljeret vurdering af dine sårbarheder.

En sårbarhed kan defineres som en svaghed i dit digitale landskab, som en hacker potentielt kan udnytte til at forårsage skade.

Disse sårbarheder kan eksistere på mange niveauer - fra manglende softwareopdateringer til utilstrækkelig uddannelse af medarbejdere.

Overskueligt udgangspunkt via NIST Cybersecurity Framework

Her benytter vi National Institute of Standards and Technology (NIST) Cybersecurity Framework til vurdering af sårbarheder.

NIST Cybersecurity Framework er anerkendt som en branchestandard inden for cybersikkerhed og giver en struktureret, systematisk tilgang til at finde, klassificere og prioritere sårbarheder.

Frameworket består af fem søjler, der inddeler diverse cyberkompetencer efter kontekst og situation:

  • Identify: Identificer hvilke aktiver og processer, der skal beskyttes og optimeres
  • Protect: Implementer de nødvendige foranstaltninger, der skal til for at beskytte infrastruktur og data
  • Detect: Overvåg, opdag og slå ned på de steder, der sker incidents og cyberangreb.
  • Respond: Hav kompetencer og beredskab klar til at reagere på incidents og cyberangreb.
  • Recover: Vær i stand til at genskabe data og systemer med en komplet backup-strategi og plan for restore.

Det favner altså bredt og sikrer, at du vurderer dine sårbarheder hele vejen fra før et angreb sker til hvordan du kommer tilbage efter det er sket.

På den måde får du inkorporeret et holistisk udgangspunkt for vurdering af dine sårbarheder, der sikrer at du får det hele med.

NIST Cybersecurity Framework som et visuelt værktøj

Vi bruger også frameworket som et visuelt værktøj til at kommunikere sårbarheder via et scorecard. Vi har dog modificeret kompetencerne i NIST CSF, så det er tilpasset til vores danske måde at arbejde med IT. Det ser således ud:

De forskellige lag i frameworket trækker den ellers ofte komplekse disciplin, cybersikkerhed, ned i øjenhøjde, så andre end IT-eksperter kan følge med.

Så hvis du sidder med en lægmand fra ledelsen, så kan du blive på laget med søjlerne og dyppe tæerne i nogle af de underliggende kompetencer.

I IT-afdelingen kan du så gå hele vejen og implementere løsninger i henhold til de mere tekniske sikkerhedskontroller.

Denne synliggørelse af virksomhedens svagheder gør frameworket til et effektivt værktøj, når man skal give ledelsen en forståelse for nødvendigheden af at prioritere IT-sikkerheden.

Men hvordan vurderer du dine sårbarheder?

Der er 28 kompetencer at vurdere i frameworket, og for hver kompetence er der en masse kontroller og standarder at forholde sig til. Det kræver altså noget tid at komme igennem.

Vores metode har været at få opstillet en spørgeramme, hvor kontroller og vores egen erfaring har udmundet sig i over 150 evaluerende spørgsmål. Svarene vurderes og henføres tilbage til en score, der kan give det visuelle overblik.

For at have de bedste forudsætninger for at lykkes bør du sørge for at:

  • Repræsentanter fra både IT og ledelsen er inkluderet i processen for at få det bedste indblik. Det giver også større inklusion til den efterfølgende eksekvering.
  • Der er grundig forståelse for hvad kontrollerne i frameworket indebærer. Har man ikke dette vil evalueringen være noget nær umulig.
  • Man har formuleret kontrollerne om til relaterbare spørgsmålene, der kan forstås af de adspurgte stakeholders. Kontrollerne kan være kryptiske og ukonkrete, så brug jeres erfaring til at gøre det så relaterbart som muligt.

Step 3: Beregning af Risiko

Nu hvor vi har identificeret vores kritiske aktiver og vurderet vores sårbarheder, er det tid til at dykke ned i beregningen af risiko.

I denne fase går vi fra en teknisk analyse til en mere kvalitativ tilgang, hvor vi analyserer og beregner risikoen forbundet med de identificerede sårbarheder.

En grundlæggende metode til at beregne risiko er at bruge en risikomatrix. En risikomatrix er et værktøj, der hjælper os med at kvantificere risikoen ved at vurdere to nøglefaktorer: sandsynligheden for, at en given hændelse vil forekomme, og dens konsekvenser.

Sandsynlighed: Det første element, en risikomatrix vurderer, er sandsynligheden for, at en given hændelse vil forekomme. Ved at overveje forskellige trusler og deres sandsynlige frekvens, kan vi få et tydeligt billede af, hvor vores opmærksomhed og ressourcer mest effektivt kan rettes hen.

Konsekvens: Det andet afgørende element i en risikomatrix er konsekvensen ved, at en hændelse indtræffer. Det handler ikke kun om, hvor sandsynligt det er, at en trussel vil materialisere sig, men også om, hvor stor skade den kan forårsage. Ved at vurdere og rangere diverse trusler på denne måde, kan vi sikre, at vi er fuldt forberedte på at håndtere de konsekvenser, der kan opstå.

Formlen for beregning af Risiko

Risiko = Sandsynlighed X Konsekvens

Dette er den grundlæggende formel for beregning af risiko.

Sandsynligheden er hvor sandsynligt det er, at en bestemt risiko vil materialisere sig, mens konsekvensen er den potentielle skade, der vil opstå, hvis risikoen materialiseres.

Ved at multiplicere disse to faktorer sammen, kan man få en numerisk vurdering af risiko, som kan bruges til at prioritere forskellige risici og derfra vurdere, hvor ressourcer bedst kan anvendes til at minimere risikoeksponeringen.

Vores skala ser sådan ud:

  • Lav risiko 1-4 (Grøn)
  • Mellem risiko 5-11 (Blå)
  • Kritisk 12-16 (Rød)

Visuelt eksempel i praksis

Risiko = 12: Nedbrud og datalæk som følge af ransomwareangreb

Sandsynlighed 4: Meget høj

Konsekvens 3: Høj

Her multipliceres sandsynligheden (4) med konsekvens (3) og man kommer derved frem til en risiko på 12, som viser at risikoen er i et kritisk stadie og bør prioriteres.

Ved at kombinere identifikationen af vores kritiske aktiver, vurderingen af vores sårbarheder, og vores beregning af risiko, kan vi danne et komplet billede af sikkerheden for det digitale landskab.

Dette er afgørende for det næste skridt – hvor det handler om at håndtere sine risici og træffe beslutninger derefter.

Step 4: Håndtering af Risici

Når vi har et komplet overblik over vores cyberrisici, er det tid til at tage et skridt mod håndteringen af disse risici. Det er her, hvor vi træffer beslutningerne, der vil påvirke vores organisation både på kort og lang sigt.

Lad os tage et nærmere kig på de fire grundlæggende strategier til håndtering af risici:

  1. Undgå risiko: Denne strategi handler om at eliminere risikoen helt. Det kan være ved at stoppe bestemte aktiviteter, der udsætter os for risikoen.
  2. Overfør risiko: At overføre risikoen betyder at uddelegere ansvaret for risikoen til en tredjepart, som kunne være en forsikringsudbyder eller en leverandør. På den måde overfører man risikoen ved at en anden part tager ansvaret på sig.
  3. Reducer risiko: Her går man ind og forsøger at reducere risikoen ved at implementere sikkerhedsforanstaltninger. Målet er at nedsætte risikoen til et acceptabelt niveau. Sikkerhedsforanstaltninger består typisk af løsninger, der går direkte ind og minimerer enten sandsynligheden eller konsekvensen ved en cybertrussel.
  4. Accepter risiko: Nogle gange kan det være mere omkostningseffektivt at acceptere risikoen end at bruge ressourcer på at undgå, overføre eller reducere den. Typisk er denne strategi brugt, hvis risikoen i forvejen er på et lavt niveau. I disse tilfælde er det vigtigt at have en klar plan for, hvordan man vil håndtere potentielle konsekvenser, da man jo ved denne strategi undlader at gøre mere.

Valget mellem disse strategier afhænger af mange faktorer, blandt andet organisationens risikoappetit, ressourcebegrænsninger, og organisatoriske prioriteter. Ved at kombinere disse strategier på en effektiv måde, kan der skabes en omfattende og pragmatisk tilgang til risikostyring.

Og husk, risikostyring er ikke en engangshændelse, men en løbende proces. Dette leder os til det sidste trin: Løbende risikostyring.

Step 5: Løbende Risikostyring

Vi har nu gennemgået processen med at identificere, vurdere og håndtere vores risici. Men risikostyring er ikke en engangshændelse. Det er en kontinuerlig proces, der kræver løbende vedligeholdelse og opdatering.

Så, hvordan ser det ud i praksis?

  1. Uddeleger ansvar og roller: Det første skridt er at sikre, at der er klare roller og ansvar inden for organisationen. Det skal være tydeligt, hvem der er ansvarlig for hver risiko, hvem der tager beslutningerne om risikohåndteringen, og hvem der faciliterer eksekveringen af den valgte strategi. Helt konkret er det en god ide at inddrage højtstående ledese og opsætte faste møder for at skabe en fast struktur.
  2. Tilret og genovervej beslutninger: Som tidligere nævnt, kan risici ændre sig over tid, og det er vigtigt at tilpasse vores strategier i overensstemmelse hermed. Det kan være nye trusler indtræffer, og man skal prioritere anderledes, eller man har løftet sine sårbarheder og skal tilpasse sine prioriteringer på ny. Løbende risikovurdering sikrer, at vi ikke overser nye eller ændrede risici, og at vi er i stand til at tilpasse vores risikohåndtering hurtigt og effektivt.
  3. Dediker budget til cybersikkerhed: En af de største faldgrupper i risikohåndtering er en manglende evne til at tildele de nødvendige midler, der skal til for at leve op til de beslutninger, man har truffet. Det er afgørende at sikre, at der er passende finansielle ressourcer til rådighed for at håndtere risici. Dette understreger også værdien i at kunne prioritere rigtigt, da man derved ikke tager munden for fuld og rent faktisk kommer i mål med et passende budget.
  4. Opdateret og tilgængeligt forum: Det er også vigtigt at have et forum, hvor risikostyring kan diskuteres og vurderes regelmæssigt. Dette kan være formelle møder, online diskussionsplatforme, simple excel-ark, eller et kombineret format. Det centrale er, at der er et sted, hvor risikostyring kan blive drøftet på en åben og transparent måde. For at skabe et sådant forum, kræver det at arbejdet bliver dokumenteret og at der løbende bliver indsamlet informationer.

At følge disse trin vil ikke kun sikre, at I håndterer aktuelle risici effektivt, men også at I bliver klar til at reagere hurtigt og effektivt på fremtidige udfordringer.

Vi håber, at denne guide har givet dig en dybdegående forståelse af, hvordan pragmatisk risikostyring fungerer i praksis. Men husk, at det er vigtigt at arbejde med eksperter, der kan guide og støtte dig gennem denne komplekse proces.

Hos Itavis er vi dedikeret til at støtte vores kunder gennem hver fase af risikostyringsprocessen. Uanset om du har brug for hjælp til at identificere dine kritiske aktiver, vurdere din organisations sårbarheder, eller hvis du ønsker at outsource hele risikostyringsprocessen. Det starter dog typisk med at vi laver en risk assessment.

Du kan gennem følgende link booke en session med os – så kan vi sammen tage det første skridt mod en mere sikker fremtid for din organisation.

Med Itavis, er din organisation altid i sikre hænder.

Relateret indhold
Itavis styrker Carlsbergs globale it-sikkerhed med SASE-løsning
Hybrid Cybersikkerhed: En Omfattende Guide til Sikring af On-Premise og Cloud Miljøer
SMV'er kan nu modtage tilskud til digital sikkerhedsrådgivning
Services
Digital TransformationCybersikkerhedManaged IT-driftSASEStrategi & Projektledelse
Hvem vi er
Om ItavisKarriereKontaktVilkår og Compliance
Tanker og idéer
Itavis styrker Carlsbergs globale it-sikkerhed med SASE-løsning
Hybrid Cybersikkerhed: En Omfattende Guide til Sikring af On-Premise og Cloud Miljøer
Pragmatisk Risikostyring: Din Guide til at Kortlægge Cyberrisici og Få Prioriteret Optimalt
Referencer
Dansk Boldspil-UnionTaxa 4x35Dansk RetursystemKromann Reumert
2023 Itavis ApS
Strandvejen 863, 2930 Klampenborg
da
en