in2120 - d12 risikostyring

generell risikomodell

Verdier, trusler og sårbarheter. Jo større verdier, desto større risiko.

• Verdier: Dette er de ressursene og eiendelene som organisasjonen ønsker å beskytte. Eksempler på verdier kan være:

• Informasjonssystemer og data

• Personopplysninger

• Fysiske eiendeler

• Omdømme

• trusler: Dette er potensielle hendelser eller handlinger som kan skade verdiene. Eksempler på trusler:

• Cyberangrep

• Naturkatastrofer

• Menneskelige feil

• Sårbarheter: Dette er svakheter i systemene eller prosessene som kan utnyttes av trusler. Eksempler på sårbarheter:

• Svake passord

• Manglende sikkerhetsoppdateringer

• Dårlig sikkerhetskultur

prosess for risikostyring

ISO/IEC 27005 er en internasjonal standard som gir retningslinjer for risikostyring for informasjonssikkerhet. Denne standarden er tett knyttet til ISO 31000, som omhandler risikostyring generelt.

Hovedtrinnene i prosessen:

1. Kontekstetablering:

   • Bestem Risikoeier og Fokus: Hvem er ansvarlig for risikostyringen, og hva er omfanget av vurderingen?

   • Identifiser Krav fra Standarder, Lovverk og Policyer: Hvilke krav må oppfylles?

   • Etabler Risikokriterier: Hva er organisasjonens akseptnivå for risiko?

   • Definer Tilnærming og Metode: Hvilken metode skal brukes for risikovurdering (f.eks., kvalitativ, kvantitativ)?

2. Risikovurdering (ROS-analyse):

   Risikoidentifisering:

   • Identifiser Verdier: Hvilke ressurser og eiendeler skal beskyttes (f.eks., data, systemer, omdømme)?

   • Identifiser Trusler: Hvilke potensielle hendelser eller handlinger kan skade verdiene?

   • Identifiser Eksisterende Tiltak: Hvilke sikkerhetstiltak er allerede på plass?

   • Identifiser Sårbarheter: Hvilke svakheter kan utnyttes av trusler?

   • Identifiser Konsekvenser: Hva er de potensielle negative effektene av sikkerhetshendelser?

   Risikoanalyse:

   • Estimere verdier og konsekvenser: Vurder verdien av eiendelene og de potensielle kostnadene ved et sikkerhetsbrudd.

   • Estimere sannsynlighet for hendelser: Hvor sannsynlig er det at en gitt trussel vil utnytte en sårbarhet og forårsake en hendelse?

   • Beregne risikonivåer: Bruk en risikomatrise eller annen metode for å kombinere sannsynlighet og konsekvens og beregne et risikonivå for hver risiko.

   Risikoevaluering:

   • Rangere risikoene etter nivå: Prioriter risikoene basert på risikonivået.

   • Sammenligne med terskelnivå og kriterier: Er risikonivået akseptabelt i henhold til organisasjonens risikokriterier?

3. Risikohåndteringsplan:

• Risikoreduksjon: Implementer sikkerhetstiltak for å redusere sannsynlighet eller konsekvens av risikoen.

• Risikooverføring: Overfør risikoen til en tredjepart (f.eks., cyberforsikring, outsourcing).

• Risikoaksept: Aksepter risikoen hvis den er lav eller kostnaden ved å redusere den er for høy.

• Risikounngåelse: Stopp aktiviteten som forårsaker risikoen.

4. Implementere og Driftssette Tiltak:

• Iverksette Tiltak: Implementer de valgte sikkerhetstiltakene.

• Overvåke og Evaluere: Overvåk effektiviteten av tiltakene og evaluer restrisikoen.

prosess for risikostyring

Beslutningspunkter:

1. Er risikovurderingen tilfredsstillende?

• Hvis nei: Revider kontekstetableringen eller utfør en mer grundig risikovurdering.

• hvordan det kan rettes opp:

a. Relativt dårlig spredning av risikonivåer.

• Spredningen kan forbedres med rekalibrering av sannsynlighet eller konsekvensnivåer.

b. for stor uvisshet rundt en eller flere høye risikoer.

• Uvissheten kan reduseres ved å gjøre en mer grundig vurdering av disse risikoene.

2. Er håndteringsplanen akseptabel?

• Hvis nei: Juster planen ved å endre risikokriterier, implementere flere tiltak, eller vurdere andre håndteringsalternativer.

• hvordan det kan rettes opp:

a. for høy restrisiko:

• Høy restrisiko kan senkes ved å implementere flere tiltak.

• Høy restrisiko kan defineres som passe ved å heve risikoterskel.

b. for lav restrisiko:

• Lav restrisiko kan heves ved å implementere færre tiltak.

• Lav restrisiko kan defineres som passe ved å senke risikoterskel.

c. passe restrisiko, men utilstrekkelig budsjett til å innføre foreslåtte risikoreduserende tiltak:

• Tilpass budsjett ved å øke budsjettet eller kutte tiltak.

Hva er risikovurdering?

En systematisk prosess for å analysere og evaluere potensielle risikoer.

Innebærer å identifisere trusler, sårbarheter og mulige konsekvenser, og beregne risikonivået.

Gir grunnlag for å prioritere og implementere sikkerhetstiltak.

ROI (Return on investment) I risikostyring

ROI = (risikoreduksjon - kostnad) / kostnad, er en standardformel for å beregne avkastning på investering (ROI). I kontekst av risikostyring benyttes denne formelen for å vurdere kostnadseffektiviteten til sikkerhetstiltak.

Forklaring av Formelen:

• Risikoreduksjon: Representerer den økonomiske verdien av reduksjonen i risikonivå etter implementering av et sikkerhetstiltak.

• For eksempel, hvis et tiltak reduserer forventet tap fra NOK 200 000 til NOK 50 000, er risikoreduksjonen NOK 150 000.

• Kostnad: Representerer den totale kostnaden forbundet med å implementere og drifte sikkerhetstiltaket.

Et eksempel i kildene beskriver beregning av ROI for et sikkerhetstiltak mot hacking av en webside.

• Risiko (før tiltak): NOK 400 000 (forventet tap per år)

• Antatt risikoreduksjon: NOK 400 000 (tiltaket eliminerer risikoen fullstendig)

• Kostnad: NOK 400 000

• I dette tilfellet ville ROI være: (400 000 - 400 000) / 400 000 = 0

• Tiltaket har en nøytral ROI. Det er verdt å merke seg at dette eksemplet forutsetter at tiltaket fullstendig eliminerer risikoen, noe som er sjelden i praksis.

Tolkning av ROI:

• Positiv ROI: Indikerer at sikkerhetstiltaket er lønnsomt. Gevinsten ved å redusere risiko overstiger kostnaden for tiltaket.

• Negativ ROI: Indikerer at tiltaket er ulønnsomt. Kostnaden for tiltaket overstiger gevinsten ved risikoreduksjon.

• Nøytral ROI: Krever en grundig vurdering. Gevinsten og kostnaden er tilnærmet like. Andre faktorer, som samsvar med lovverk

Hva er forskjellen på kvalitativ og kvantitativ risikovurdering?

Kvalitativ: Bruker beskrivende skalaer for å vurdere sannsynlighet og konsekvens (f.eks., "lav", "middels", "høy").

Kvantitativ: Bruker numeriske verdier for å uttrykke sannsynlighet og konsekvens (f.eks., sannsynlighet som årlig frekvens, konsekvens i kroner).

Hvilke trinn inngår i risikovurderingsprosessen?

ISO/IEC 27005 definerer følgende trinn:

1. Risikoidentifisering: Identifisere verdier, trusler, sårbarheter, konsekvenser og eksisterende tiltak.

2. Risikoanalyse: Estimere verdier og konsekvenser, estimere sannsynlighet for hendelser, og beregne risikonivåer.

3. Risikoevaluering: Rangere risikoene etter nivå og sammenligne med terskelnivå og kriterier.

risikoidentifisering

Risikoidentifisering er et sentralt trinn i risikostyringsprosessen, og innebærer å kartlegge potensielle trusler, sårbarheter og hendelser som kan skade en organisasjons verdier. Målet er å få en oversikt over hvilke risikoer organisasjonen står overfor, slik at man kan iverksette tiltak for å håndtere dem.

Sentrale elementer i risikoidentifisering:

• Trusler: Identifiser potensielle trusler som kan utnytte sårbarheter og forårsake skade.

• Sårbarheter: Identifiser svakheter i systemer, prosesser eller sikkerhetstiltak som kan utnyttes av trusler.

• Hendelser: Beskriv potensielle hendelser som kan oppstå som følge av at trusler utnytter sårbarheter.

Kildene beskriver et case om risikostyring for et advokatfirma. I dette eksempelet identifiseres viktige verdier som saksdokumenter, e-poster, servere og personlige enheter. Videre identifiseres potensielle trusler som phishing-angrep, utnyttelse av sårbarheter i programvare og kryptovirus. Sårbarheter som svake passord, mangelfull oppdatering av programvare og dårlig sikkerhetskultur nevnes også.

Kvalitativ risikoanalyse

Kvalitativ risikoanalyse er en metode for å vurdere risiko ved å bruke beskrivende skalaer for å kategorisere sannsynlighet og konsekvens av potensielle hendelser. Denne tilnærmingen er nyttig når det er vanskelig eller upraktisk å kvantifisere risiko i presise pengeverdier

• En kvalitativ sannsynlighetsskala brukes til å estimere hvor sannsynlig det er at en gitt trussel vil utnytte en sårbarhet og forårsake en hendelse.

• En konsekvensskala brukes til å vurdere alvorlighetsgraden av de negative konsekvensene dersom en hendelse inntreffer. Kildene beskriver ulike konsekvensaspekter, som:

• Redusert omsetning/profitt, økonomisk tap.

• Svekket ytelse av tjeneste.

• Brudd på juridisk etterlevelse, erstatning, bøter og juridiske kostnader.

• Skadet omdømme, tap av tillit.

• kostnader ved håndtering og gjenoppretting.

• Belastning for ansatte og brukere, mulig traumatisering.

Risikomatrise for kvalitativ risikoberegning

En risikomatrise er et sentralt verktøy i kvalitativ risikoberegning. Den brukes til å visualisere og kategorisere risikoer basert på sannsynlighet og konsekvens.En risikomatrise er en tabell der radene representerer sannsynlighetsnivåer og kolonnene representerer konsekvensnivåer. Hver celle i matrisen representerer en kombinasjon av sannsynlighet og konsekvens, og dermed et spesifikt risikonivå.

Kvantitativ risikoberegning

Kvantitativ risikoberegning skiller seg fra kvalitativ risikoberegning ved å bruke numeriske verdier for å uttrykke sannsynlighet og konsekvens, noe som muliggjør en mer presis beregning av risikonivået.

• Sannsynlighet (P): I kvantitativ risikoberegning uttrykkes sannsynlighet som en desimalverdi mellom 0 og 1. Denne verdien representerer den relative frekvensen av hendelser per år. For eksempel, en sannsynlighet på 0,5 indikerer at hendelsen forventes å inntreffe annethvert år.

• Konsekvens (K): Konsekvens uttrykkes som en absolutt pengeverdi, som representerer summen av alle relevante konsekvensaspekter. Kildene fremhever tapte inntekter, skadet omdømme og kostnader forbundet med gjenoppretting som eksempler på slike aspekter.

• Risikonivå (R): Risikonivået, ofte referert til som forventet tap per år, beregnes ved å multiplisere sannsynligheten med konsekvensen: R = P × K.

Eksempel kvantitativ beregning

• Scenario: En webside blir utsatt for hacking, noe som resulterer i tilgrising og ødeleggelse av nettstedet.

• Sannsynlighetsestimat: Basert på tilgjengelig informasjon og historiske data, estimeres sannsynligheten for denne hendelsen til P = 0,5. Dette antyder at en slik hendelse kan forventes å inntreffe omtrent annethvert år.

• Konsekvensberegning: Følgende konsekvensaspekter identifiseres og kvantifiseres:

• Tapt fortjeneste (k1): NOK 500 000, som representerer inntektstapet på grunn av nedetid.

• Tapt omdømme (k2): NOK 200 000, som gjenspeiler den negative effekten på virksomhetens omdømme.

• Kostnader forbundet med gjenoppretting av websiden (k3): NOK 100 000.

• Total konsekvens (K): K = k1 + k2 + k3 = NOK 800 000.

• Risikoberegning: R = P × K = 0,5 × NOK 800 000 = NOK 400 000

Tolkning av Resultatet: Risikoberegningen indikerer et forventet årlig tap på NOK 400 000 som følge av hacking av websiden. Dette beløpet representerer den økonomiske risikoen forbundet med denne spesifikke hendelsen. Kildene bemerker at det kan være økonomisk forsvarlig å investere opptil NOK 400 000 i sikkerhetstiltak for å redusere eller eliminere denne risikoen.

Hvilke standarder finnes for risikostyring?

• ISO 31000 Risikostyring

• ISO/IEC 27005 Risikostyring for informasjonssikkerhet

• NIST SP800-39 Managing Information Security Risk

• NIST SP800-30 Guide for Conducting Risk Assessment

• NS 5814 Krav til risikovurdering

• NS 5831 Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger –Risikohåndtering

• NS 5832 Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Risikoanalyse

Hva er de fire hovedmåtene å håndtere risiko på?

Redusere risikoen: Implementere sikkerhetstiltak.

Dele/overføre risikoen: Outsource aktiviteten som forårsaker risikoen, eller kjøpe cyberforsikring.

Beholde risikoen: Forstå og tolerere potensielle konsekvenser.

Unngå risikoen: Stoppe aktiviteten som forårsaker risikoen.

Hva er restrisiko?

Restrisiko er den risikoen som gjenstår etter at man har iverksatt tiltak for å håndtere risiko. Det er en ledelsesbeslutning å akseptere restrisiko

Hvordan kan man mitigere restrisiko?

Planer for hendelseshåndtering (IRP), katastrofehåndtering (DRP) og driftskontinuitet (BCP) kan bidra til å redusere de negative effektene av sikkerhetshendelser.

Hvorfor er risikostyring en kontinuerlig prosess?

Fordi trusler og sårbarheter endrer seg over tid, og nye risikoer kan oppstå. Tiltak må evalueres og justeres fortløpende

Hvilken positiv betrakning på risiko finnes det?

Man kan aktivt søke forretningsmuligheter, selv om det innebærer risiko. Man kan øke nytten og fortjenesten uten å øke risikoen tilsvarende, og man kan dele forretningsmuligheter og risiko med andre aktører.

eksamen H23

16 risikotrekant

Figuren nedenfor viser risikotrekanten der hvert hjørne representerer et fundamentalt risikoaspekt. Skriv navnet på hvert risikoaspekt i hvert sitt hjørne. Det spiller ingen rolle hvilket hjørne du skriver hvert ord i. Store eller små bokstaver spiller heller ingen rolle, men pass på å stave ordene riktig.

• Verdier: Dette refererer til eiendeler, ressurser eller informasjon som organisasjonen ønsker å beskytte. Eksempler kan være kundedata, økonomiske data, programvare, maskinvare eller omdømme.

• Trusler: Dette er potensielle hendelser eller handlinger som kan utnytte sårbarheter og forårsake skade på verdier. Eksempler kan være hacking, malware, naturkatastrofer eller menneskelige feil.

• Sårbarheter: Dette er svakheter i systemer, prosesser eller sikkerhetstiltak som kan utnyttes av trusler. Eksempler kan være svake passord, manglende sikkerhetsoppdateringer eller utilstrekkelig fysisk sikkerhet.

eksamen H23

38 prosess for risikostyring

Figuren nedenfor viser prosess for risikostyring der trinnene mangler beskrivelse. Sett inn elementene i riktig felt for å beskrive trinnene.

eksamen H23

39 Risikohåndtering

Håndtering av risikoer er en del av risikostyring. For hvert utsagn nedenfor, indiker om det representerer en gyldig metode for å håndtere risiko.

Utsagn 1: "Reduser risiko ved å implementere sikkerhetstiltak"

Riktig svar: Ja

Dette er en gyldig metode for risikohåndtering. Målet med risikoreduksjon er å minske sannsynligheten for at en hendelse inntreffer eller å redusere konsekvensene av en hendelse

Utsagn 2: "Dele eller overføre risiko til andre, f.eks. med tjenesteutsetting eller cyberforsikring"

Riktig svar: Ja

Dette er også en gyldig metode for risikohåndtering, og kalles risikooverføring eller risikodeling.

Utsagn 3: "Reduser risikonivået fra risikovurderingen ved å endre risikotabellen"

Riktig svar: Nei

Dette er ikke en gyldig metode for risikohåndtering. Risikotabellen er et verktøy som brukes for å vurdere og visualisere risiko, og skal gjenspeile en objektiv vurdering av sannsynlighet for hendelse og konsekvenser.

Å endre risikotabellen for å kunstig redusere risikonivået løser ikke det underliggende problemet. Det kan gi et falskt inntrykk av sikkerhet og føre til at reelle risikoer ikke blir håndtert på en forsvarlig måte.

Utsagn 4: "Aksepter risikoen, som dermed representerer restrisiko"

Riktig svar: Ja

Dette er en gyldig metode for risikohåndtering, men bør kun brukes når risikonivået er lavt og kostnadene ved å implementere sikkerhetstiltak er for høye i forhold til den potensielle gevinsten.

eksamen H22

10.2 Beslutningspunkter

Til venstre beskrives noen utsagn vedrørende risikostyring som er relevante enten for beslutningspunkt 1 eller for beslytningspunkt 2 i henhold til figuren for risikostyring i forrige oppgave. Velg hvilket beslutningspunkt som er relevant for hvert utsagn.

• "Dårlig spredning av risikoer": Punkt 1

• Dette er relevant for beslutningspunkt 1 fordi det handler om kvaliteten på risikovurderingen. En dårlig spredning av risikonivåer kan tyde på at risikovurderingen ikke er tilfredsstillende og må forbedres før man går videre til risikohåndteringsplanen.

• "Passe restrisiko, men utilstrekkelig budsjett for sikkerhetstiltak": Punkt 2

• Dette er også relevant for beslutningspunkt 2. Selv om restrisikoen er akseptabel, kan det være at den foreslåtte planen for risikohåndtering ikke er gjennomførbar på grunn av budsjettbegrensninger.

• I slike tilfeller må risikohåndteringsplanen revideres, for eksempel ved å prioritere de mest kritiske sikkerhetstiltakene eller finne alternative løsninger.

• "For stor uvisshet rundt risikoer": Punkt 1

• Dette er også relevant for beslutningspunkt 1. Stor uvisshet rundt risikoer indikerer at risikovurderingen er mangelfull og må forbedres.

• "For høy restrisiko i henhold til kriterier": Punkt 2

• Dette er relevant for beslutningspunkt 2 fordi det handler om resultatet av risikohåndteringsplanen. Restrisiko er den gjenværende risikoen etter at sikkerhetstiltak er implementert.

• Hvis restrisikoen er for høy, må risikohåndteringsplanen justeres, for eksempel ved å implementere ytterligere sikkerhetstiltak.

eksamen H22

10.3 Kvantitativ risikovurdering

• Hendelsens sannsynlighet:

• Hendelsen inntreffer en gang hvert andre år.

• Sannsynligheten (P) per år er derfor 0.5 (1 / 2 = 0.5).

• Kvantitativ konsekvens:

• Tapt fortjeneste: 1 000 000 NOK

• Utgifter til gjenoppretting: 500 000 NOK

• Total konsekvens (K): 1 000 000 + 500 000 = 1 500 000 NOK

• Kvantitativ risiko:

• Risiko (R) beregnes som forventet tap per år: R = P x K

• R = 0.5 x 1 500 000 = 750 000 NOK

• ROI for sikkerhetstiltaket:

• Kostnad for sikkerhetstiltak: 100 000 NOK

• Risikoredukjson: 500 000 NOK

• ROI = (Gevinst - Kostnad) / Kostnad

• ROI = (500 000 - 100 000) / 100 000 = 4