Hvordan fremlægger du din risikovurdering og får opbakning?
Jeg deltog for nylig i andet modul på ESL-kursus, der fokuserede på risikostyring og beredskabsplaner. I dette indlæg vil jeg komme ind på hvordan du fremlægger din risikovurdering, og hvordan du får opbakning fra ledelsen:
Scoring
Den første ting du skal gøre, er at samle dine risici og score disse baseret på den konsekvens, hver risiko ville have, hvis den opstod, og sandsynligheden for at det vil ske. Vi deler risiciene op i 3 elementer: Risiko for brud på fortrolighed, risiko for brud på integritet samt risiko for brud på tilgængelighed. Disse risici kan derefter visualiseres i en matrix, for eksempel 5 x 5 firkanter, hvor områder af matrixen markeres med grønt (mindre), gul (moderat) og rødt (kritisk) for at angive, hvor høj hver enkelt risiko er.
Effekten af foranstaltninger og forbedringer
Det næste du skal gøre er at vise, hvilken effekt foranstaltninger og udbedringer vil have på dine risici. Dette kan du med fordel gøre i samme matrix. Her er det vigtigt, at du tydeligt illustrerer risikoen før en foranstaltning og før en udbedring. Men også hvor du kan få bedst udbytte. Tag med andre ord de laveste hængende frugter først.
Opbakning fra ledelsen er vigtig!
Rapporteringen af risikovurderingen skal regelmæssigt forelægges for ledelsen, så de bliver opmærksom på:
- Den samlede risikoeksponering for organisationen
- Resultaterne af de informationssikkerhedsaktiviteter, der er i gang
- Og så du kan få deres opbakning til nuværende og fremtidige aktiviteter
Jeg vil altid anbefale at risikovurderingen bliver fremlagt på et møde, f.eks. i jeres sikkerhedsorganisation, og ikke kun tilsendt som en rapport på mail, hvor der er en risiko for, at den ikke bliver læst.
Et kontinuerligt fokus
En organisations risikoeksponering vil ideelt set reducere over tid, hvis I som sikkerhedsorganisation arbejder hårdt på at implementere foranstaltninger med det formål at reducere risici. Men nye risici opstår løbende, efterhånden som verdens- og trusselsbilledet ændrer sig. Ligesom at jeres forretning udvikler sig, og derfor kræver risikostyring et kontinuerligt fokus.
Vil du gerne vide mere?
Hvis du gerne vil vide mere omkring risikovurderinger, så tag endelig fat i mig eller en af mine kolleger.