Risikovurderinger er udgangspunktet for de fleste af vores beslutninger, både når det gælder cybersikkerhed i virksomhedens systemer, og når vi færdes i trafikken i løbet af dagen. Forskningen viser, at vi ikke er særlig gode til det – men at vi ikke erkender det. Derfor kan vi ikke bruge de gamle rigide modeller til at beskrive det ukendte. Her får du nogle idéer til at gøre det anderledes.
Hvad skal vi bruge risikovurderinger til?
Det giver god mening at risikovurdere. Det er en måde at sortere i de farer, der omgiver os, og kunne sætte ind der, hvor vi vurderer, at det er vigtigst. Risici er problemer eller hændelser, der ikke er indtruffet endnu, som vi har identificeret som en bekymring.
Risici dukker op på daglig basis, store som små, og venter ikke på en årlig risikovurdering. Vi kan acceptere dem, lade andre håndtere dem eller nedbringe dem – men vi bør ikke ignorere dem. Når vi implementerer tiltag inden for cyber- og informationssikkerhed, så er det på baggrund af en vurdering af, at risikoen ikke er acceptabel i sin rene form.
En velfungerende proces for risikostyring kan gribe alle de observationer og bekymringer, der er i organisationen, og sikre at vi træffer nogle bevidste beslutninger – uanset, hvad de måtte være. Dette er bl.a. beskrevet i NIST1 rammeværket for risikostyring.
Det er vigtigere at have et godt flow i observationer og beslutninger, end at prøve at skabe et præcist billede af virksomhedens risici.
Hvad er problemet med at vurdere det uvisse?
Den klassiske model for risikovurderinger ser sådan ud:
Risiko = Sandsynlighed x Konsekvens
Hvis man vurderer sandsynlighed og konsekvens på en 5-skala og ganger de to tal, så ender man med en risikoværdi på 1-25. Nemt og enkelt – men er det rigtigt?
Der er mange problemer forbundet med at sætte en kompleks verden ind i en enkel formel og regne med, at det giver brugbart svar. Lad os tage fat i to problemer.
Vurderingen af sandsynlighed bliver et gæt, og vi skal passe på at tillægge dette gæt en for stor værdi. Der er forsket rigtig meget i vurdering af risici, og resultaterne viser altid en utrolig ringe evne til at forudsige fremtiden. Læs f.eks. ”The Black Swan”2 om emnet.
Overvej at udskifte sandsynlighed med sårbarhed når du anvender modellen, og se om det ikke giver nogle mere brugbare svar.
Et andet problem er, at vores evne til at tænke analytisk er ret begrænset, og at vi derfor er tilbøjelige til at reagere intuitivt baseret på følelser og antagelser. Dette er beskrevet i bogen ”Thinking fast and slow” af Kahneman3. Hvis du vil have hurtige beslutninger, så skal de være enkle at træffe. Du skal ikke sende analytiske risikovurderinger til personer, der ikke har forudsætningerne for at svare på dem, for du får et svar under alle omstændigheder. Dine data bliver blot ringere, og du ender med at tegne et forkert billede for ledelsen i virksomheden.
For eksempel kan en risiko være sammensat af en mulig forretningsmæssig konsekvens, som vurderes præcist af en person med kendskab til virksomhedens drift. Vedkommende vil dog have svært ved at vurdere de tekniske tiltag, der er på plads, eller som bør implementeres. Derfor er vurdering bedst udført af en sammensat gruppe af kompetencer.
Hvad kan vi gøre bedre uden at skulle ændre alt?
Den grundlæggende idé i at risikovurdere er stadig god, men vi skal analysere mindre og handle mere. Det er godt at have en solid proces, som f.eks. er baseret på NIST rammeværket.
- Vi må anerkende, at vi ikke ved, hvad fremtiden bringer, og derfor forholde os til noget som vi kan handle på.
- Vi kan være mere eller mindre robuste – og det påvirker vores risiko for at komme galt afsted.
- Vi skal holde fast i det, vi ved noget om, og acceptere usikkerheden i vores vurderinger. Det er i orden at gætte, hvis vi er enige om, at det er det, vi gør. Men lad være med at foretage beregninger baseret på gætterier.
Her er seks gode råd, der alle er afprøvet i praksis:
- Stil nogle spørgsmål som man kan svare på. Vær konkret i dine spørgsmål så de kan besvares ud fra konkret viden. Det kan være: ”har vi overvågning af indgående netværkstrafik?”. Svaret kan bruges til at vurdere risikoen for, at et angreb på netværket ikke opdages.
- Spørg de rigtige personer. Jeres ledelse kender formentlig ikke de tekniske sikringstiltag, og jeres teknikere kender ikke de forretningsmæssige konsekvenser ved et angreb. Opdel risikovurderinger så der kun spørges om noget, der kan svares konkret på ud fra viden om eget ansvarsområde.
- Fokuser på handling frem for analyse. Sørg for at jeres proces kan gribe risici, der opstår i dagligdagen, og kan sørge for at der hurtigt træffes beslutning om handlinger. En hurtig vurdering efterfulgt af handling er bedre end analyse og afrapportering.
- Skab et digitalt workflow – hvis du kan. Regneark og e-mail er de mest anvendte værktøjer til at dele risici, men be-stemt ikke de mest effektive. Hvis det er muligt, så anvend værktøjer til digitale workflows, så som Integrated Risk Management (IRM), Governance, Risk & Compliance (GRC) eller Service Management platforme. De dækker ofte hele organisationen og kan effektivisere arbejdet betydeligt.
- Mål pulsen. Følg med i, hvor meget input der kommer fra organisationen. Hvis der ikke meldes risici ind, så er det nok et tegn på, at organisationen ikke anvender processen. Hvis der ikke er et output, i form af beslutninger, så er der et problem med behandlingen af risici. Hold øje med om der er liv i processen.
- Skab sammenhæng og fokus. Risiko er et udtryk for chancen for, at forretningen ikke når sine overordnede mål. I en kompleks verden hænger risici typisk sammen. Derfor kan der ikke altid handles isoleret på en risiko. Der skal skabes sammenhæng blandt de overordnede risici og de underbyggende risici. Anvendelse af værktøjer er gode til at ”holde styr” på sammenhængen.
Devoteam deler gerne erfaringer med operationelle processer for risikostyring, fra både store og små organisationer. Dette er et område, hvor der ofte er forskel på teori og praksis, og du skal derfor være forsigtig med, hvad du implementerer i din virksomhed.
Anbefalinger til interessant læsning, hvis du vil vide om emnet:
1) Joint Task Force (2018), Risk Management Framework for Information Systems and Organizations, National Institute for Standards and Technology, Maryland, USA – Rammeværk for risikostyring. Processen er anvendelig og et godt udgangspunkt.
2) Taleb, N.N. (2007), The Black Swan, Random House, New York, USA
– Der er forsket meget i vores evne til at risikovurdere, og i denne bog kan du læse om mange af de grundlæggende fejl som vi bliver ved med at gentage i vores jagt på vished.
3) Kahneman, D. (2018), Thinking, Fast & Slow, Farrar, Straus & Giroux Inc, New York, USA
– En beskrivelse af hvordan vores hjerne er bygget til to grundlæggende forskellige måder at tænke på og træffe beslutninger. Helt afgørende for vores måde at stille spørgsmål på.
4) Ariely, D. (2009), Predictably Irrational, Harper Collins Publishers, London, United Kingdom
– En bog der behandler psykologien i vores beslutninger og hvor nemt det er at påvirke vores tilsyneladende rationelle valg ud fra simple påvirkninger.
Illustration af proces for risikostyring udarbejdet af Devoteam. Må anvendes frit med angivelse af kilde.
Se vores DevoTalk: Sådan opbygger du en enkel og praktisk risikostyring
Risikostyring er en helt central proces i cyber- og informationssikkerhed og en forudsætning for at arbejde efter ISO27001. Men, hvordan får man processen til at fungere, uden at det bliver for tungt og teoretisk? På denne DevoTalk giver Frederik Helweg-Larsen dig inspiration og gode råd. Se webinaret her.
Vil du vide mere?
Så er du velkommen til at kontakte Frederik.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.