Den gode risikovurdering – hvordan kommer du igang?

October 4, 2018 at 16:31

Der kommer flere og flere sikkerhedssager i medierne, hvor virksomheder eller offentlige organisationer er blevet hacket eller der har været et databrud.

En risikovurdering er en udmærket måde for en virksomhed at finde ud af, hvad deres nuværende sikkerhedsniveau er, og hvilke områder der bør fokuseres på nu og i fremtiden. Men hvad er den gode risikovurdering, og hvordan kommer du i gang med en risikovurdering?

Hvornår er der behov for en risikovurdering?
Er I igang med at overveje nye cloud-løsninger til jeres virksomhed eller er I igang med en opdatering af jeres forretningsprocesser og de underliggende systemer? Så er det nu I skal i gang med en risikovurdering.

Som udgangspunkt er der typisk behov for en risikovurdering, når der kommer ændringer eller nye implementeringer af processer eller systemer i en virksomhed. Men fordi sikkerhedsverden og trusselsbilledet ændrer sig konstant, er der behov for en regelmæssig gennemgang af en virksomheds risikovurderinger, f.eks. én gang om året.

Hvad er den gode risikovurdering?
Den gode risikovurdering kan tage mange former, men typisk vil den være interview-baseret i et workshop-format, hvor it-sikkerhedsspecialister taler med udvalgte nøgleinteressenter fra den pågældende virksomhed eller organisation. Disse personer kunne f.eks. være ansvarlige for forretningsprocesser, systemer eller udvalgte teams.

Spørgsmålene vil typiske dække tre områder:

  • Personer: Awareness-træning, it-sikkerhedstræning, it-sikkerhedsadfærdskodeks, systemanskaffelse, softwareudvikling samt ansættelse af medarbejdere.
  • Processer: Processer omkring adgangskontrol, bruger-management samt driftssikkerhed.
  • Teknik: Logning, antimalware, netværkssikkerhed, backup samt kryptering.

Hvordan kommer du i gang?
Når du er overbevist om, at en risikovurdering er den rigtige løsning, er der flere måder at gøre det på:

  • Byg dit eget værktøj: Det værktøj kan være baseret på f.eks. ISO/IEC 27001, NIST SP800-53, eller ISA-62443 for Operational Technology (OT) sikkerhed.
     
  • Køb et værktøj: Der er en række af forskellige produkter til rådighed, som man kan købe og bruge til at foretage risikovurderinger. Disse værktøjer er typisk også bygget på sikkerhedsrammer som f.eks. ISO/IEC 27001.
     
  • Få assistance fra eksterne it-sikkerhedsspecialister: De første to muligheder ovenfor kræver, at man har in-house it-sikkerhedsspecialister til rådighed, og i mange tilfælde kan det være, at disse personer ikke findes eller er optaget med andre opgaver. Eksterne it-sikkerhedsspecialister kan hjælpe jer med at komme i gang - hurtigt og effektivt baseret på erfaringer fra lignede kunder fra samme branche, og de kan ligeledes assistere og rådgive jer i forhold til jeres behov.

Vil du gerne vide mere?
Hvis du gerne vil vide mere omkring risikovurderinger, eller hvordan Ezenta kan assistere dig med en risikovurdering, så tag endelig fat i mig eller en af mine kolleger.