1. Home
  2. IKT-servicefag Vg2ChevronRight
  3. Sikkerhet og kravChevronRight
  4. KravChevronRight
  5. Vurdere risiko og konsekvenserChevronRight
SubjectMaterialFagstoff

Fagartikkel

Vurdere risiko og konsekvenser

For å vurdere behovet for sikkerhetstiltak kan du gjennomføre en risiko-/ konsekvensanalyse.

En risiko-/konsekvensanalyse kan gjøres både for virksomhetens IKT-systemer som helhet og for enkeltsystemer. Analysen starter med å besvare spørsmålet:

Hva kan gå galt?

For hvert punkt du lister opp som svar på dette spørsmålet, må du svare på tre nye spørsmål:

  1. Hva blir konsekvensen hvis det som kan gå galt, faktisk går galt?
  2. Hvor stor er sjansen for at det kommer til å skje?
  3. Hvilke tiltak må gjennomføres for å forhindre at det går galt – eller for å begrense skaden hvis det går galt?

Med utgangspunkt i svarene kan du vurdere konsekvensene og sjansen for at noe går galt, opp mot kostnadene ved å gjennomføre sikkerhetstiltakene. Da har du et grunnlag for å bestemme hvor omfattende tiltak som må iverksettes.

Hvis for eksempel konsekvensene er små og det er liten sjanse for at noe kommer til å skje, vil behovet for sikkerhetstiltak også være lite.

Hvis konsekvensene derimot er kritiske for virksomheten, vil behovet for sikkerhetstiltak også være stort – selv om sjansen for at noe kommer til å skje, fortsatt er liten.

En brann som ødelegger alle tjenere slik at alle programmer og data går tapt, er for eksempel lite sannsynlig. Men hvis det skulle skje, kan det i verste fall føre til at virksomheten må opphøre, at den går konkurs eller lignende.

Risikodiagram

Som hjelp til vurderingen kan du bruke et risikodiagram. Her er et eksempel på et slikt diagram:

Sikkerhetsrisiko:
Sannsynlighet Konsekvenser
Minimale Små Middels store Store Kritiske
Svært sannsynlig
Sannsynlig
Lite sannsynlig
Svært lite sannsynlig

Risikodiagram. Forfatter: Arne Jansen

I diagrammet angir radene sannsynligheten for at noe kommer til å skje, mens kolonnene viser hvor alvorlige konsekvensene kan bli.

Rutene i diagrammet har en fargekode som viser om graden av risiko er akseptabel, og hvilket nivå av sikkerhet som kreves.

  • GRØNN = Akseptabel risiko. Krever ikke spesielle sikkerhetstiltak.
  • GUL = Mulig risiko. Spesielle sikkerhetstiltak bør vurderes.
  • RØD = Uakseptabel risiko. Krever spesielle sikkerhetstiltak.

Med «spesielle sikkerhetstiltak» menes tiltak som gjøres spesielt for å forhindre eller begrense skaden av den bestemte risikoen.

Hvis konsekvensene av en hendelse er kritiske, vil behovet for sikkerhetstiltak være stort selv om det er liten sjanse for at noe kommer til å gå galt.

Læringsressurser

Krav