Risikoanalyse

 

KITH har nedlagt mye arbeid i å utvikle en metode egnet for risikoanalyse for informasjonssikkerhet. Metoden er beskrevet i vår rapport: Risikoanalyse - Metodegrunnlag og bakgrunnsinformasjon. Gjennom denne rapporten, som vi ønsker å holde løpende oppdatert gjennom våre websider og gjennom andre former for kompetansespredning som for eksempel foredrag og undervisning, ønsker vi å øke kunnskapen om risikoanalyser som et viktig verktøy for helsevesenet.  Foruten kunnskapsspredning bidrar KITH også i konkrete prosjekter og yter bistand ved risikoanalyser som virksomheter i helsesektoren gjennomfører. På denne måten ønsker vi å spre kunnskap om "best practices" og alternative metoder på alle nivåer i helsesektoren.

 

Utgangspunktet for å utføre en risikoanalyse er for mange organisasjoner lovpålagte krav, for eksempel gjennom krav om HMS-system, eller som resultat av Datatilsynets retningslinjer. For andre organisasjoner kan utgangspunktet være et internt ønske om å bedre kvaliteten og sikkerheten for virksomhetens arbeidsprosesser. Uansett utgangspunkt er det viktig at organisasjonen selv ser nytteverdien av risikoanalysen og tar inn over seg tankegangen og metodikken som ligger til grunn for arbeidet med en slik analyse. En risikoanalyse vil peke på hvilken risiko man løper dersom nødvendige sikringstiltak ikke gjennomføres, og gi forslag til hvilke tiltak som bør prioriteres. Det siste vil særlig gi organisasjonens ledelse et bedre beslutningsgrunnlag for sikkerhetsarbeidet, og gi verdifulle innspill til budsjettarbeid og planlegging, spesielt for IT-avdelingen.

 

I tillegg til å være et viktig styringsverktøy vil arbeidet med risikoanalysen øke bevisstheten og kunnskapen om informasjonssikkerhet blant medarbeiderne, noe som i seg selv vil virke positivt på sikkerheten og bidra til en effektiv sikkerhetskultur. Gjennom en trinnvis prosess får deltagerne i prosessen et klart bilde av de sikkerhetsutfordringene virksomheten står overfor, hvilke trusler man står overfor, og mulighet til å påvirke de sikkerhetstiltakene som kan innføres.

 

Arbeidet med risikoanalysen bør starte med å beskrive bakgrunn og mål for risikoanalysen. Beskrivelsen bør i tillegg avgrense analysen og avklare hva som ligger innenfor og utenfor analysens omfang. Hovedmålsetningen for en risikoanalyse vil som regel være å redusere risikoen knyttet til analyseobjektet til et akseptabelt nivå.

 

Hva som er et akseptabelt nivå for risikoen defineres av virksomhetens akseptkriterier. Et akseptkriterium angir at man aksepterer risikoen knyttet til en hendelse dersom sannsynligheten for at hendelsen inntreffer er tilstrekkelig lav og/eller konsekvensen av hendelsen er tilstrekkelig ufarlig (evt. kan kontrolleres). Akseptkritieriene må fastsettes av virksomhetens ledelse på bakgrunn av de krav og rammebetingelser som virksomheten er underlagt gjennom lovverk, forskrifter osv.

 

Etter å ha beskrevet analyseobjektet må arbeidsgruppen som utfører risikoanalysen identifisere truslene og de uønskede hendelsene som kan ramme objektet. Forskjellig materiale kan tjene som bakgrunn:  

Arbeidet med å komme fram til aktuelle trusler kan gjerne organiseres som en brainstorming, hvor deltagerne lar tankene strømme fritt med mål å komme opp med flest mulig ulike trusler. Her kan gjerne den kritiske sansen hvile seg til neste fase, hvor man vurderer de ulike truslene og avgjør hvilke man vil gå videre med. Til slutt kan det også være nyttig å gjøre en mer systematisk gjennomgang av truslene for å se om man har fått med seg alt. Da kan man for eksempel se om man har vurdert trusler fra både eksterne og interne aktører, både tilfeldige og ondsinnede trusler osv.

 

Når arbeidsgruppen har kommet fram til en rekke trusler og systematisert disse, er tiden inne for å vurdere sannsynlighet og konsekvens, som igjen vil gi opphav til risikovurderingen. For hver trussel kan man først vurdere konsekvensene, f.eks. i økonomiske verdier/tap eller på andre skalaer. Det er også viktig å vurdere eventuelle konsekvenskjeder som kan medføre at en trussel får større konsekvens enn man normalt ville regne med. For å avgjøre den endelige konsekvensen vurderer man også de eksisterende skadebegrensende tiltakene, altså tiltak som vil bidra til å redusere konsekvensen av en hendelse hvis den skulle intreffe.

 

På tilsvarende vis vurderes så sannsynligheten for hver enkelt trussel. Her må vi vurdere mulige årsakskjeder, og hvilke forebyggende tiltak som allerede eksisterer. For å vurdere sannsynligheten kan vi bruke egne eller andres erfaringer, publiserte resultater, estimater, eller for eksempel vurdere hvor lett det vil være å utføre en ondsinnet handling, det vil si hvor robust de sikringsmekanismene man har implementert er. Samlet vil vurderingen av sannsynlighet og konsekvens gjøre det mulig å plassere hendelsene inn i en matrise som gir oss oversikt over de ulike truslene og risikoen knyttet til dem.

 

For de truslene som overstiger virksomhetens akseptkriterier må det iverksettes risikoreduserende tiltak. Tiltakene kan være innføring av nye tekniske systemer, opplæring, organisasjonsendring osv., og det er naturlig å dele tiltakene inn i to hovedtyper; forebyggende tiltak som har til hensikt å redusere sannsynligheten for en trussel, og skadebegrensende tiltak som søker å minske konsekvensene av en utløst trussel. Vi skiller også mellom strakstiltak og langsiktige tiltak. Strakstiltak er tiltak som krever små endringer og lite ressurser og kan raskt gi en risikoreduserende effekt. Langsiktige tiltak er tiltak som krever større endringer, f.eks. i tekniske systemer eller i organisasjonen. Disse tiltakene bør også underlegges en grundigere kost/nyttevurdering.