1. Identificering af ricisi

Indsaml, beskriv, kategorisér og samordn risici. Dokumentér risici, der skal vurderes, i et risikoregister.

Forskellige tilgange til risikoidentificering

Billedet illustrerer Fase 1: Identificering

Billedet illustrerer Fase 1: Identificering

  • Man kan anvende en systematisk tilgang ved regelmæssigt at gennemgå forretningsgange, systemer, trusler, sikringstiltag, potentielle sårbarheder eller mulige konsekvenser for myndigheden – gerne i en kombination af flere tilgange.
  • Risici kan også indsamles fra audit-resultater, revisionserklæringer, sikkerhedshændelser og løbende observationer – fra ting, der sker.

Eksempel på beskrivelse af risiko

”Login-oplysninger i brugerportalløsning (aktiv), kan ved en menneskelig fejl (trussel), blive gjort tilgængelige for uvedkommende (konsekvens), på grund af mangel på formel ændringsstyring (sårbarhed) i løsningens vedligeholdelse.”

Casebeskrivelse:

Man kan også vælge en mere dialog-drevet tilgang, som man benytter i Styrelsen for It og Læring. I stedet for at inddrage samtlige trusler og sårbarheder, har man vurderet de risici og sårbarheder, der er mest aktuelle for styrelsen og samtidig dækker spørgsmål der relaterer sig til lovpligtige GDPR-krav og journaliseringspligten. Med spørgsmål baseret på et internt trusselskatalog, afholdes workshops med systemansvarlige (se case nedenfor). De systemansvarliges primære ansvar er at dele deres viden og sikre at risikovurderingsrapporten afspejler det aktuelle system. Selve rapporten skrives af it-sikkerhedskontoret, så systemansvarlige belastes så lidt som muligt af risikovurderingsprocessen.

Case: identificering af risici i Styrelsen for It og Læring

At skabe rammerne for en god proces

STIL har lavet en proces for risikovurderinger, som sikrer dialogbaseret inddragelse af systemansvarlige og direktion. Det bliver kommunikeret inden og under forløbet med systemansvarlige medarbejdere, at risikovurderinger ikke fungerer som en audit, men har til formål at skabe gennemsigtighed og understøtte systemansvarlige med at træffe beslutninger og få opbakning fra ledelsen til konkret opgaveløsning. I takt med at forskellige systemer er blevet risikovurderet, er risikovurderingsprocessen løbende blevet evalueret, og nye læringer er blevet brugt aktivt til at finjustere metoden.

Fra at udfylde lange skemaer, til dialogbaserede og effektive risikovurderingsworkshops

For at sikre en ensartet og systematisk tilgang til vurdering af risici i Styrelsen for It og Læring, tager deres metode sit afsæt i et trusselskatalog. Trusselskataloget indeholder alle de trusler som er relevante at vurdere, og fungerer som spørgeramme i risikovurderingerne. Der er arbejdet målrettet, med at formulere trusselskataloget, så det refererer til BUVM’s kontekst og er letforståeligt, også selvom man ikke arbejder med it-sikkerhed til dagligt.
Trusselskataloget er udarbejdet med udgangspunkt i den generiske trusselsliste fra ISO27001, GDPR og trusler fra Center for Cybersikkerhed. For at sikre ledelsesforankring og relevans, er der også afholdt en workshop med STIL’s direktion, hvor man har afklaret hvilke trusler, som direktionen var særligt bekymrede for, og resultaterne er integreret i trusselskataloget.

Selve risikovurderingsworkshoppen foregår gennem interview af systemansvarlige og evt. andre relevante medarbejdere. For at sikre at dialogen afdækker alle de relevante områder i trusselskataloget, bliver workshoppen faciliteret af Kontor for it-sikkerhed og databeskyttelse (KID). På baggrund af workshoppen, skriver KID et udkast til en risikovurderingsrapport, som afstemmes med systemansvarlige til en kalibreringsworkshop. Når der er enighed om indhold imellem systemansvarlige og KID, sendes rapporten til de relevante kontorchefer, som kan give kommentarer.

Afslutningsvis afholdes et møde med systemansvarlige, kontorchef og et medlem af direktionen, hvor de vigtigste resultater af risikovurderingen gennemgås. På dette møde besluttes og dokumenteres det, hvilke risici der skal mitigeres, hvilke der accepteres og hvilke der skal undersøges nærmere med dertilhørende handleplan. Risici som har en hvis alvorlighed registreres i et risikoregister og forelægges direktionen minimum en gang halvårligt med henblik på at dokumentere fremdrift i løsningen af risici.

Risikovurdering som en service og awareness-skabende aktivitet

En væsentlig pointe ved den dialogbaserede tilgang er, at man har fået afmystificeret risikovurderinger som koncept og har fået engageret de systemansvarlige i processen. Det har skabt en større awareness i organisationen omkring trusler, sårbarheder og nødvendige kontroller. Og sidst men ikke mindst oplever de systemansvarlige at risikovurderingen er en service de får, og som kan klæde dem bedre på til at tage sikkerhedsrelaterede beslutninger.

Billede af model for beskrivelse ricisi

God praksis i risikoidentificeringen

Lige meget hvilken kombination af metoder, der vælges til risikoidentificering, er det vigtigt, at man løbende genbesøger trusselsbilledet, så alle væsentlige risici medtages i det samlede overblik.

Derudover er det vigtigt at alle identificerede risici registreres og beskrives konkret med oplysninger om:

  • Berørte aktiver
  • Relevante trusler
  • Observerede sårbarheder / manglende sikringstiltag
  • Mulige sikkerhedsmæssige konsekvenser for aktiverne (tab af fortrolighed, integritet eller tilgængelighed).

Kategorisering af risici

Informationssikkerhedsrisici kan være mangeartede og relatere sig til aktiver af forskellige type betydning. Alle risici behøver derfor ikke nødvendigvis at løbe igennem den samme vurderingsproces.

Risici som håndteres i driftsprocesser

Risici, der kan håndteres inden for vedtagne ressourcemæssige rammer, kan behandles som led i den daglige drift, uden at man nødvendigvis behøver at foretage en formel risikovurdering eller involvere et særligt beslutningsorgan. Det gælder fx for risici, der behandles af almindelige processer i it-driftsorganisationer og derfor registreres, håndteres og følges op på i en anden del af myndigheden, såsom Incident Management processen.

Tværgående risici

Man bør være opmærksom på, at små risici kan dække over større systemiske risici; processer, der ikke virker efter hensigten, svagheder i ansvarsplacering, manglende awareness eller træning etc.
Man bør derfor samordne risici, som er relaterede, så de registreres som ét problem med en samlet løsning i stedet for at de behandles individuelt. I Styrelsen for It og Læring kategoriseres risici ud fra om de er ”produktspecifikke” eller tværgående.

Særlige risici

Risici kan have et særligt scope, hvilket fx gælder for risici relateret til persondata, hvor konsekvenserne ikke i første omgang gælder myndigheden, men derimod personers (de registreredes) rettigheder. Disse risici behandles i andre processer.

Læs om databeskyttelse og GDPR

Eksempel på model til forbehandling af identificerede risici

Eksempel på model til forbehandling af identificerede risici

Casebeskrivelse:

I Brøndby Kommune, hvor man anvender et generisk risikovurderingsværktøj og derfor også let kan få et generisk resultat, lægges der stor vægt på at være konkret og beskrive "Risikoen for hvad?" – de sårbarheder og det risikoscenarie, som ligger til grund for vurderingen. Uden denne konkretisering er det vanskeligt at opstille en meningsfulde risikohåndteringsplan.

Case: Risikostyring i Brøndby Kommune

Start småt og enkelt – Vurdér hellere ofte end stort

I Brøndby Kommune valgte man for tre år siden på grund af travlhed og en for tung proces at genstarte risikostyringen i en forsimplet udgave. Herefter har man årligt udbygget og forbedret processen. Og hvert år ses der på forrige proces så den kan justeres og forbedres.

1. Bølge

Man gik tilbage til Excel og lavede en overordnet konsekvensvurdering med ledelsen, hvor man blot forholdt sig generelt til alvorligheden af tab af fortrolighed, integritet og tilgængelighed i forhold til kommunens informationer under et. Derefter udvalgte man et antal kritiske aktiver og vurderede trussels- og sårbarhedsniveau for dem på workshops. Man fik på kort tid lavet en brugbar risikovurdering om end kun på tre A4-sider.

2. og 3. Bølge

Året efter valgte man at anvende et risikovurderingsværktøj, nu med individuelle konsekvensvurderinger og trussels- og sårbarhedsvurderinger, men stadig som en faciliteret proces. Denne gang omfattede vurderingen alle kritiske systemer, hvor forretningsejerne tog stilling til hvilke konsekvenser sikkerhedsbrud kan føre til, og sårbarhedsvurderingen indbefattede konkrete spørgsmål til It-personale om sikringsforanstaltninger og kontroller.
I den seneste runde har man fået endnu flere systemer dækket ind.

Gør det konkret

I Brøndby lægges der vægt på at stille konkrete spørgsmål til it-personalet i risikovurderingsprocessen: Hvad bliver logget? Gennemgås brugerrettigheder? Styres systemændringer?
"Ingen Mensa-beregninger. Folk skal kunne se og forstå det, der spørges ind til". Derfor bruges der meget tid på at udarbejde operationelle spørgerammer, der kan afdække sårbarheder og ineffektive eller manglende sikringsforanstaltninger. Vurderingskommentarerne er vigtigere end et tal mellem 1 og 5.