I en verden, der bliver mere og mere digital, har virksomheders IT-systemer og data aldrig været mere uundværlige.
Dine digitale aktiver er essentielle for driften, produktiviteten og konkurrenceevnen, men de udgør samtidig også potentielle mål for cyberangreb.
Med stigende trusler som databrud, ransomware-angreb og andre cybertrusler, bliver cybersikkerhed og risikostyring stadig mere essentielle for alle virksomheder, uanset størrelse eller branche.
Men hvor starter du? Og hvilke løsninger bør prioriteres?
Denne guide vil give dig et indblik i vores pragmatiske tilgang til risikostyring, trin for trin.
Vi viser dig, hvordan et udgangspunkt i risiko og et afsæt i et bredt favnende framework, kan give dig et komplet overblik over jeres sårbarheder og cyberrisici.
På den måde får I opbygget et beslutningsgrundlag, der kan samle IT og ledelse til at få prioriteret optimalt og dermed få mest ud af jeres ressourcer.
Når vi har med cybersikkerhed at gøre, skal man huske, at ikke alle aktiver har lige stor værdi. Nogle er simpelthen mere afgørende for din virksomhed end andre.
Vi starter derfor med at identificere og prioritere de kritiske aktiver. Typisk i form af data og systemer.
Dette trin handler om at få en dybdegående forståelse for din organisations digitale landskab. Det involverer ikke kun IT-afdelingen, men også alle andre afdelinger i din organisation. Fra salg til HR, regnskab til kundeservice, hver afdeling har sin egen unikke rolle i den digitale infrastruktur.
Med samarbejde på tværs organisationen får du et helhedsbillede af dine digitale aktiver og de tilhørende processer.
Det næste trin er at klassificere disse aktiver baseret på, hvor kritiske de er for virksomheden.
Vi deler dem op i høj, mellem og lav prioritet. Højprioritetsaktiver er de aktiver, hvis kompromittering vil have direkte og alvorlige konsekvenser for din virksomhed. Mellem- og lavprioritetsaktiver er mindre kritiske, men stadig vigtige for den daglige drift.
Når du dykker ned i opgaven med at identificere og klassificere dine kritiske aktiver, begynder en ny klarhed at opstå.
Du vil begynde at forstå, hvilke konsekvenser et cyberangreb kan have for din organisation, som giver et pejlemærke for hvor fokus skal være for at beskytte og minimere risici.
Med et udgangspunkt i risiko kan du på denne måde bruge dine ressourcer mere effektivt.
Det er en pragmatisk øvelse i at identificere hvilke aktiver, der virkelig betyder noget for din virksomhed, så du kan prioritere at beskytte det vigtigste først.
Dette er den første milepæl på din rejse mod minimering af cyberrisici via pragmatisk risikostyring, som kan forme din strategi for cybersikkerhed fremadrettet.
Her er et eksempel på hvordan en virksomhed har identificeret og prioriteret deres digitale aktiver.
Ved første øjekast virker det måske forsimplet og trivielt, men det giver en god kontekst til at kunne kommunikere, hvad man rent faktisk beskytter med sin cybersikkerhed.
Når man træffer beslutninger med en ikke-teknisk ledelse, kan et forsimplet overblik være guld værd.
Når du har identificeret og prioriteret dine mest kritiske aktiver, er det næste skridt at forstå, hvor I er mest udsatte. Dette indebærer en detaljeret vurdering af dine sårbarheder.
En sårbarhed kan defineres som en svaghed i dit digitale landskab, som en hacker potentielt kan udnytte til at forårsage skade.
Disse sårbarheder kan eksistere på mange niveauer - fra manglende softwareopdateringer til utilstrækkelig uddannelse af medarbejdere.
Her benytter vi National Institute of Standards and Technology (NIST) Cybersecurity Framework til vurdering af sårbarheder.
NIST Cybersecurity Framework er anerkendt som en branchestandard inden for cybersikkerhed og giver en struktureret, systematisk tilgang til at finde, klassificere og prioritere sårbarheder.
Frameworket består af fem søjler, der inddeler diverse cyberkompetencer efter kontekst og situation:
Det favner altså bredt og sikrer, at du vurderer dine sårbarheder hele vejen fra før et angreb sker til hvordan du kommer tilbage efter det er sket.
På den måde får du inkorporeret et holistisk udgangspunkt for vurdering af dine sårbarheder, der sikrer at du får det hele med.
Vi bruger også frameworket som et visuelt værktøj til at kommunikere sårbarheder via et scorecard. Vi har dog modificeret kompetencerne i NIST CSF, så det er tilpasset til vores danske måde at arbejde med IT. Det ser således ud:
De forskellige lag i frameworket trækker den ellers ofte komplekse disciplin, cybersikkerhed, ned i øjenhøjde, så andre end IT-eksperter kan følge med.
Så hvis du sidder med en lægmand fra ledelsen, så kan du blive på laget med søjlerne og dyppe tæerne i nogle af de underliggende kompetencer.
I IT-afdelingen kan du så gå hele vejen og implementere løsninger i henhold til de mere tekniske sikkerhedskontroller.
Denne synliggørelse af virksomhedens svagheder gør frameworket til et effektivt værktøj, når man skal give ledelsen en forståelse for nødvendigheden af at prioritere IT-sikkerheden.
Der er 28 kompetencer at vurdere i frameworket, og for hver kompetence er der en masse kontroller og standarder at forholde sig til. Det kræver altså noget tid at komme igennem.
Vores metode har været at få opstillet en spørgeramme, hvor kontroller og vores egen erfaring har udmundet sig i over 150 evaluerende spørgsmål. Svarene vurderes og henføres tilbage til en score, der kan give det visuelle overblik.
For at have de bedste forudsætninger for at lykkes bør du sørge for at:
Nu hvor vi har identificeret vores kritiske aktiver og vurderet vores sårbarheder, er det tid til at dykke ned i beregningen af risiko.
I denne fase går vi fra en teknisk analyse til en mere kvalitativ tilgang, hvor vi analyserer og beregner risikoen forbundet med de identificerede sårbarheder.
En grundlæggende metode til at beregne risiko er at bruge en risikomatrix. En risikomatrix er et værktøj, der hjælper os med at kvantificere risikoen ved at vurdere to nøglefaktorer: sandsynligheden for, at en given hændelse vil forekomme, og dens konsekvenser.
Sandsynlighed: Det første element, en risikomatrix vurderer, er sandsynligheden for, at en given hændelse vil forekomme. Ved at overveje forskellige trusler og deres sandsynlige frekvens, kan vi få et tydeligt billede af, hvor vores opmærksomhed og ressourcer mest effektivt kan rettes hen.
Konsekvens: Det andet afgørende element i en risikomatrix er konsekvensen ved, at en hændelse indtræffer. Det handler ikke kun om, hvor sandsynligt det er, at en trussel vil materialisere sig, men også om, hvor stor skade den kan forårsage. Ved at vurdere og rangere diverse trusler på denne måde, kan vi sikre, at vi er fuldt forberedte på at håndtere de konsekvenser, der kan opstå.
Risiko = Sandsynlighed X Konsekvens
Dette er den grundlæggende formel for beregning af risiko.
Sandsynligheden er hvor sandsynligt det er, at en bestemt risiko vil materialisere sig, mens konsekvensen er den potentielle skade, der vil opstå, hvis risikoen materialiseres.
Ved at multiplicere disse to faktorer sammen, kan man få en numerisk vurdering af risiko, som kan bruges til at prioritere forskellige risici og derfra vurdere, hvor ressourcer bedst kan anvendes til at minimere risikoeksponeringen.
Vores skala ser sådan ud:
Risiko = 12: Nedbrud og datalæk som følge af ransomwareangreb
Sandsynlighed 4: Meget høj
Konsekvens 3: Høj
Her multipliceres sandsynligheden (4) med konsekvens (3) og man kommer derved frem til en risiko på 12, som viser at risikoen er i et kritisk stadie og bør prioriteres.
Ved at kombinere identifikationen af vores kritiske aktiver, vurderingen af vores sårbarheder, og vores beregning af risiko, kan vi danne et komplet billede af sikkerheden for det digitale landskab.
Dette er afgørende for det næste skridt – hvor det handler om at håndtere sine risici og træffe beslutninger derefter.
Når vi har et komplet overblik over vores cyberrisici, er det tid til at tage et skridt mod håndteringen af disse risici. Det er her, hvor vi træffer beslutningerne, der vil påvirke vores organisation både på kort og lang sigt.
Lad os tage et nærmere kig på de fire grundlæggende strategier til håndtering af risici:
Valget mellem disse strategier afhænger af mange faktorer, blandt andet organisationens risikoappetit, ressourcebegrænsninger, og organisatoriske prioriteter. Ved at kombinere disse strategier på en effektiv måde, kan der skabes en omfattende og pragmatisk tilgang til risikostyring.
Og husk, risikostyring er ikke en engangshændelse, men en løbende proces. Dette leder os til det sidste trin: Løbende risikostyring.
Vi har nu gennemgået processen med at identificere, vurdere og håndtere vores risici. Men risikostyring er ikke en engangshændelse. Det er en kontinuerlig proces, der kræver løbende vedligeholdelse og opdatering.
Så, hvordan ser det ud i praksis?
At følge disse trin vil ikke kun sikre, at I håndterer aktuelle risici effektivt, men også at I bliver klar til at reagere hurtigt og effektivt på fremtidige udfordringer.
Vi håber, at denne guide har givet dig en dybdegående forståelse af, hvordan pragmatisk risikostyring fungerer i praksis. Men husk, at det er vigtigt at arbejde med eksperter, der kan guide og støtte dig gennem denne komplekse proces.
Hos Itavis er vi dedikeret til at støtte vores kunder gennem hver fase af risikostyringsprocessen. Uanset om du har brug for hjælp til at identificere dine kritiske aktiver, vurdere din organisations sårbarheder, eller hvis du ønsker at outsource hele risikostyringsprocessen. Det starter dog typisk med at vi laver en risk assessment.
Du kan gennem følgende link booke en session med os – så kan vi sammen tage det første skridt mod en mere sikker fremtid for din organisation.
Med Itavis, er din organisation altid i sikre hænder.