En risikoanalyse utføres for å avdekke risiko knyttet til en aktivitet, et system, en situasjon eller en verdi man har behov for å beskytte. Hensikten med analysen er å fremskaffe underlag for beslutninger. For de fleste virksomheter er informasjon en viktig verdi som må beskyttes. Risikoanalyse kan gjøres på flere ulike måter. Hos en større norsk teknologibedrift med et globalt avtrykk har Aztek videreutviklet en metodikk for risikoanalyse av forretningsinformasjon der man har et spesielt fokus på forretningsprosessene.
Virksomheten har tydelige definerte forretningsprosesser som dekker alle aktiviteter, og de er dokumentert i virksomhetens Business Management System. Dette er kjerneprosesser som produktutvikling, salg, produksjon og leveranse, i tillegg til støtteprosesser som HR, finans, eksportkontroll, kvalitet, og sikkerhet – for å nevne noen. Alle disse prosessene har en prosesseier, som bl.a. har ansvar for å videreutvikle prosessen, samt håndtere risiko rundt forretningsinformasjonen.
For å hjelpe prosesseier i dette arbeidet har den sentrale sikkerhetsavdeling utviklet et program der man gjennomfører workshops med relevante deltagere fra den aktuelle forretningsprosessen. Alle vurderinger med tanke på sannsynlighet og konsekvens gjøres av de som står prosessen og informasjonen nærmest, mens sikkerhetspersonell gir råd og sørger for fremdrift. Arbeidet gjennomføres og dokumenteres i et dedikert verktøy for sikkerhetsstyring. Det finnes flere slike verktøy på markedet, men i dette tilfelle brukes Control Manager fra Siscon.
Hver forretningsprosess skal årlig gjennomgå en risikoanalyse, og verktøyet for sikkerhetsstyring varsler automatisk ansvarlig prosesseier når tiden er inne for ny gjennomgang av analysene.
Etter endt analyse utarbeides en rapport med en risikomatrise som sikkerhetspersonellet gjennomgår sammen med prosesseier og andre som har deltatt i analysen. Risikomatrisen viser risikonivå på de ulike informasjonsobjektene, med konsekvens og risiko langs hver sin akse. I gjennomgangen diskuteres funnene, og hvilke områder prosesseier bør fokusere på for å redusere risikoene som er avdekket. Det videre arbeid med oppfølging av risiko gjøres av prosesseier som har det overordnede ansvar for forretningsprosessen. Her brukes hjelpemidler som risikoregister og IT-system for kontinuerlig forbedring. Tilbakemeldingen fra prosesseierne har vært ganske entydig på at denne metodikken, i tillegg til å avdekke risker, bidrar til gode diskusjoner og økt bevissthet på informasjonssikkerhet.
En annen av fordelene for virksomheten ved å ha en prosessfokusert tilnærming til informasjonssikkerhetsrisiko er at forretningen selv har et forhold til hvilke informasjonsverdier de forvalter, hvilke risikoer de er utsatt for, og hvordan de skal imøtegå disse risikoene.
Virksomheten, som er ISO27001 sertifisert, fikk dessuten ved siste revisjon gode tilbakemeldinger på måten dette gjøres på. Spesielt med tanke på prosessfokuset i informasjonssikkerhetsarbeidet.
Relaterte innlegg Security
Oslo
Storgata 5
0155 Oslo
Trondheim
DIGS – Krambugata 2
7011 Trondheim