Risikostyring er et effektivt værktøj til at undgå IT-sikkerhedsbrud. Det kan med fordel anvendes af alle virksomheder og er ikke kun forbeholdt ledelsen.
Millioninvesteringer i IT-sikkerhed
Danske virksomheder investerer millioner af kroner i IT-sikkerhed. Ofte går mange af pengene til sikkerhedssystemer i form af firewalls, spamfiltre og antivirus software. Det er jo IT-afdelingen, der står for IT-sikkerheden, og deres medicin er næsten altid nyt hardware og software.
Men hvad nu hvis de farligste trusler kommer fra en helt anden kant? Det kan f.eks. være medarbejdere der udleverer fortrolige informationer, installerer ransomware fra en e-mail eller noget helt tredje. Så er de nye og dyre systemer nærmest sat skat mat.
IT-systemet er som en borg Tænk på IT-systemet som en borg og dig selv som borgherre. Du ved, at fjenden snart vil angribe, men ved ikke hvor og hvornår. Hvad gør du?
- Graver straks voldgraven dybere og forstærke porten.
- Kigger borgen igennem og vurderer hvor der er størst chance for at fjenden kan
trænge ind.
Hvis du vælger den sidste løsning, har du allerede en ide om hvad risikostyring handler om.
Det er risikostyring
Risikostyring handler om forudse trusler – og tage stilling til hvad der skal ske når de opstår. Det lyder måske indviklet og noget som kun banker og forsikringsselskaber har gavn af.
Men faktisk kan alle virksomheder, store som små, få glæde af at anvende risikostyring inden for IT-sikkerhed. Det er nemlig et effektivt værktøj til at finde, analysere og behandle trusler - og ikke mindst hjælpe ledelsen med at vurdere hvad der er "need to have" og "nice to have" når der skal investeres i IT-sikkerhed.
Vi har alle indbygget risikostyring
Som menneske har vi en indbygget risikostyring. Vi tænker blot ikke over det. Vi laver risikostyring inden vi går over gaden, før vi overhaler en forankørende bil eller inden vi tager et varmt fad ud af ovnen – alt sammen situationer hvor hjernen laver en risikovurdering før man udfører handlingen. Vores indbyggede risikostyring skal dermed forhindre at vi kommer til skade.
Risikostyring og IT-systemer Risikostyring for IT-systemer fungerer på nøjagtigt samme måde. Vi identificerer en risiko, vi bruger vores erfaring til at vurdere om den kan påvirke vores system og vi vælger om vi vil acceptere risikoen eller ej. Hvis vi ikke accepterer risikoen behandler vi den og beslutter hvordan den kan fjernes eller inddæmmes.
Ikke kun for ledelsen
Risikostyring er ikke kun forbeholdt ledelsen. Hvis medarbejderne lærer at lave en simpel risikovurdering - inden de deler data, klikker på links i e-mails, kobler på usikre trådløse netværk osv. - kan de være med til at beskytte IT-systemerne.
Risikostyringen består af 3 ”dele”:
Risikovurderingen: Vi finder (identificerer) og vurderer om en handling eller en trussel, kan kompromittere drifts- eller informationssikkerheden. Det kan f.eks. være i forbindelse med Phishing e-mails, brug af (inficerede) USB-nøgler, risici ved fjernopkobling af computere og meget andet.
Risikoanalysen:
Vi analyserer risikoen, og konsekvenserne, ved en handling. Er der fare for at systemet går ned? kan vi risikere at miste data? bliver alle filer krypteret? osv.
Risikobehandling:
Vi accepterer eller fjerner risikoen. Det kan f.eks. være ved at installere ny sikkerhedssoftware, lave bedre kontroller med systemerne eller træne medarbejderne i IT-sikkerhed.
Et par eksempler:
1.
Risikovurdering - ransomware angreb.
Risikoanalyse - det kan kryptere alle vores filer.
Risikobehandling - vi har spamfilter, backup og trænet medarbejderne.
2. Risikovurdering - backupsystem. Risikoanalyse - hvis vi ikke laver backup dagligt risikerer vi datatab. Risikobehandling - vi laver backup dagligt og kontrollerer dette. 3. Risikovurdering - persondata i webshop.
Risikoanalyse - vi mister persondata og overtræder GDPR.
Risikobehandling - vi krypterer alle persondata i webshoppen.
Kom nemt i gang Risikostyringen behøver ikke at være mere end et Excel regneark og et fast punkt på møderne med IT-afdelingen. Her kan i gennemgå og evaluere nye trusler og tage stilling til hvordan de skal behandles. Og det bedste er, at selv IT-ukyndige personer kan være med - det handler jo om at bruge sin sunde fornuft og sin indbyggede risikostyring. Om e-ducators og risikostyring Vi hjælper virksomheder med implementering af IT-risikostyring gennem brug af simple virkemidler. Kontakt os for at høre nærmere.