<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=2942705&amp;fmt=gif">

Risikoanalyse med prosessfokus

Øivind Lammetun
13.okt.2022 05:53:52

En risikoanalyse utføres for å avdekke risiko knyttet til en aktivitet, et system, en situasjon eller en verdi man har behov for å beskytte. Hensikten med analysen er å fremskaffe underlag for beslutninger. For de fleste virksomheter er informasjon en viktig verdi som må beskyttes. Risikoanalyse kan gjøres på flere ulike måter. Hos en større norsk teknologibedrift med et globalt avtrykk har Aztek videreutviklet en metodikk for risikoanalyse av forretningsinformasjon der man har et spesielt fokus på forretningsprosessene.

Virksomheten har tydelige definerte forretningsprosesser som dekker alle aktiviteter, og de er dokumentert i virksomhetens Business Management System. Dette er kjerneprosesser som produktutvikling, salg, produksjon og leveranse, i tillegg til støtteprosesser som HR, finans, eksportkontroll, kvalitet, og sikkerhet – for å nevne noen. Alle disse prosessene har en prosesseier, som bl.a. har ansvar for å videreutvikle prosessen, samt håndtere risiko rundt forretningsinformasjonen.

For å hjelpe prosesseier i dette arbeidet har den sentrale sikkerhetsavdeling utviklet et program der man gjennomfører workshops med relevante deltagere fra den aktuelle forretningsprosessen. Alle vurderinger med tanke på sannsynlighet og konsekvens gjøres av de som står prosessen og informasjonen nærmest, mens sikkerhetspersonell gir råd og sørger for fremdrift. Arbeidet gjennomføres og dokumenteres i et dedikert verktøy for sikkerhetsstyring. Det finnes flere slike verktøy på markedet, men i dette tilfelle brukes Control Manager fra Siscon.

Hver forretningsprosess skal årlig gjennomgå en risikoanalyse, og verktøyet for sikkerhetsstyring varsler automatisk ansvarlig prosesseier når tiden er inne for ny gjennomgang av analysene.

Metodikken man benytter for risikoanalyse består av 6 faser:

  1. Prosessen
    Kort gjennomgang av selve prosessen for å fange opp eventuelle endringer siden forrige gjennomgang.

  2. Informasjonen
    I dette steget identifiseres hvilke informasjonsobjekter prosessen forvalter. Dette kan være informasjon om kunder, ansatte, produkter, produksjonsmetoder, finansiell informasjon osv. Fellesnevneren er at dette er outputs fra ulike faser av forretningsprosessene.

  3. Klassifisering
    All informasjon som prosessene behandler har ulike behov for sikring og skjerming, ut fra hvor verdifull den er. For å identifisere verdinivå og hvilke sikkerhetstiltak som er nødvendige må informasjonen klassifiseres. All informasjon skal ha en eier, og denne er ansvarlig for å sette riktig klassifisering i henhold til virksomhetens definerte klassifiseringsnivåer.

  4. IT-systemer
    I denne spesifikke virksomheten er IT-tjenester levert av en sentral IT- funksjon i konsernet. Risikoanalyser av IT-systemene ligger derfor utenfor metoden for risikoanalyse som beskrives her. Likevel identifiserer man i denne fasen hvilke IT-systemer som er involvert når de ulike informasjonsobjektene behandles eller deles. Dette gjøres bl.a. fordi risiko knyttet til informasjonen er tett koblet opp mot IT-systemet det behandles i.

  5. Konsekvensvurdering
    Konsekvensvurderingen skal fastsette hvilke følgeskader eller konsekvenser som kan oppstå dersom informasjonen havner i uvedkommendes hender, at den inneholder feil eller er utilgjengelig ved behov. Vurderingen gjøres opp imot forhåndsdefinerte konsekvensnivåer, og disse konsekvenstypene:
    • Eksternt omdømme
    • Finansielle tap
    • Intern uro/mistillit
    • Lovmessige eller regulatoriske konsekvenser

    Denne vurderingen gjøres for alle informasjonsobjektene i hver forretningsprosess.

  6. Organisatorisk sårbarhetsanalyse
    Til slutt gjøres en organisatorisk sårbarhetsanalyse for hvert enkelt informasjonsobjekt. Her vurderes sannsynligheten for at uønskede hendelser kan inntreffe knyttet til konfidensialitet, integritet og tilgjengelighet grunnet organisatoriske forhold. Dette er relatert til hvordan informasjonen håndteres, og eksempler kan være manglende prosedyrer, at prosedyrer ikke følges, manglende opplæring, sosial manipulering, uklare ansvarsforhold osv. Her brukes relevante eksempler fra virksomhetens trussel register, samt forhåndsdefinert sannsynlighetsmatrise.

Rapport, konklusjon og videre oppfølging

Etter endt analyse utarbeides en rapport med en risikomatrise som sikkerhetspersonellet gjennomgår sammen med prosesseier og andre som har deltatt i analysen. Risikomatrisen viser risikonivå på de ulike informasjonsobjektene, med konsekvens og risiko langs hver sin akse. I gjennomgangen diskuteres funnene, og hvilke områder prosesseier bør fokusere på for å redusere risikoene som er avdekket. Det videre arbeid med oppfølging av risiko gjøres av prosesseier som har det overordnede ansvar for forretningsprosessen. Her brukes hjelpemidler som risikoregister og IT-system for kontinuerlig forbedring. Tilbakemeldingen fra prosesseierne har vært ganske entydig på at denne metodikken, i tillegg til å avdekke risker, bidrar til gode diskusjoner og økt bevissthet på informasjonssikkerhet.

En annen av fordelene for virksomheten ved å ha en prosessfokusert tilnærming til informasjonssikkerhetsrisiko er at forretningen selv har et forhold til hvilke informasjonsverdier de forvalter, hvilke risikoer de er utsatt for, og hvordan de skal imøtegå disse risikoene.

Virksomheten, som er ISO27001 sertifisert, fikk dessuten ved siste revisjon gode tilbakemeldinger på måten dette gjøres på. Spesielt med tanke på prosessfokuset i informasjonssikkerhetsarbeidet.

Anbefalt lesning

Relaterte innlegg Security

Abonner på Aztek Insights!