Fagstoff

Vurdere risiko og konsekvenser

Publisert: 13.02.2013, Oppdatert: 05.03.2017
  • Innbygg
  • Enkel visning
  • Lytt til tekst
  • Skriv ut
Data sikkerhet

For å vurdere behovet for sikkerhetstiltak kan du gjennomføre en risiko-/konsekvensanalyse.

 En brann i et kontorbygg kan få store konsekvenser dersom ikke tjenere og annen IKT infrastruktur er godt nok sikret En brann i et kontorbygg kan få store konsekvenser dersom ikke tjenere og annen IKT-infrastruktur er godt nok sikret.
Fotograf: Pontus Lundahl
   

 

Vær oppmerksom på at når det gjelder registrering av personinformasjon er det satt minimumskrav til sikkerhet i loven om personregister. Disse kravene kan ikke fravikes selv om man vurderer både konsekvensene og sjansene for at noe kan gå galt, som lav.

En risiko-/konsekvensanalyse kan gjøres både for virksomhetens IKT-systemer som helhet og for enkeltsystemer. Analysen starter med å besvare spørsmålet:

Hva kan gå galt?

For hvert punkt du lister opp som svar på dette spørsmålet, må du svare på tre nye spørsmål:

  1. Hva blir konsekvensen hvis det som kan gå galt, faktisk går galt?
  2. Hvor stor er sjansen for at det kommer til å skje?
  3. Hvilke tiltak må gjennomføres for å forhindre at det går galt – eller for å begrense skaden hvis det går galt?

Med utgangspunkt i svarene kan du vurdere konsekvensene og sjansen for at noe går galt, opp mot kostnadene ved å gjennomføre sikkerhetstiltakene. Da har du et grunnlag for å bestemme hvor omfattende tiltak som må iverksettes.

Hvis for eksempel konsekvensene er små og det er liten sjanse for at noe kommer til å skje, vil behovet for sikkerhetstiltak også være lite.

Hvis konsekvensene derimot er kritiske for virksomheten, vil behovet for sikkerhetstiltak også være stort – selv om sjansen for at noe kommer til å skje, fortsatt er liten.

En brann som ødelegger alle tjenere slik at alle programmer og data går tapt, er for eksempel lite sannsynlig. Men hvis det skulle skje, kan det i verste fall føre til at virksomheten må opphøre, at den går konkurs eller lignende.

Risikodiagram

Som hjelp til vurderingen kan du bruke et risikodiagram. Her er et eksempel på et slikt diagram:

Sikkerhetsrisiko:

Sannsynlighet

Konsekvenser

Minimale

Små

Middels store

Store

Kritiske

Svært sannsynlig

 

 

 

 

 

Sannsynlig

 

 

 

 

 

Lite sannsynlig

 

 

 

 

 

Svært lite sannsynlig

 

 

 

 

 

Risikodiagram. Forfatter: Arne Jansen

I diagrammet angir radene sannsynligheten for at noe kommer til å skje, mens kolonnene viser hvor alvorlige konsekvensene kan bli.

Rutene i diagrammet har en fargekode som viser om graden av risiko er akseptabel, og hvilket nivå av sikkerhet som kreves.

  • GRØNN = Akseptabel risiko. Krever ikke spesielle sikkerhetstiltak.
  • GUL = Mulig risiko. Spesielle sikkerhetstiltak bør vurderes.
  • RØD = Uakseptabel risiko. Krever spesielle sikkerhetstiltak.

Med «spesielle sikkerhetstiltak» menes tiltak som gjøres spesielt for å forhindre eller begrense skaden av den bestemte risikoen.

Hvis konsekvensene av en hendelse er kritiske, vil behovet for sikkerhetstiltak være stort selv om det er liten sjanse for at noe kommer til å gå galt.