Risikovurdering Flashcards
Hvilke faser i risikostyring?
2 - identifisering
3 - analysering
4 - evaluering
Hva må gjøres i risikoidentifiseringen?
- Finne mulige hendelser
- finne konsekvenser
- finne sårbarheter
- beskrive risikoen
Hva må gjøres i risikoanalyseringen?
- vurdere sannsynlighet for hendelse
- vurdere konsekvens for gitt hendelse
- UVISSHETvurdering av risiko
- Fastsette risikonivå (sannsynlighet x konsekvens)
Hva må gjøres i risikoevalueringen?
- rangere risiko etter alvorlighetsgrad
- sammenligne risikonivå
- beslutningsstøtte
- anbefale tiltak
- vurdere restrisiko
4 typer sårbarheter
4 p-er
People
- Sårbarheter
- Social engineering / Sosial påvirkning
- Kompetanse
- Bevissthet
- Kultur
Process
- Sårbarheter knyttet til: Arbeidsprosesser, rutiner, roller og ansvar osv
Product/Technology
Verdifull informasjon kan befinne seg i teknologi
- Informasjon kan befinne seg på tre ulike «tilstander» med hver sine ulike typer sårbarheter:
- Data at rest (lagring)
- Data in motion (overføring)
- Data in use (bruk)
Partner
Sårbarheter knyttet til leverandører
- Samarbeidsavtaler
- Mangelfulle leverandøravtaler
- Mangelfulle rutiner rundt leverandøroppfølgning
To typer tilnærming til å beskrive risiko
top-down
bottom-up
Risikobeskrivelse
I praksis skal en risikobeskrivelse inneholde en mulig hendelse og konsekvens.
Risko for at hendelse X kan lede til konsekvens Y.
Sannsynlighetsvurdering
Tall fra 1-4
Usannsynlig, Lav, Middels og Høy
- Inntruffede hendelser
- Endringer i trussel- og risikolandskapet
- Eksisterende tiltak
- Letthetsgrad
- Sårbarheter/Årsaker/Svakheter
Konsekvensvurdering
Tall fra 1-5
Ubetydelig, Litt, Betydelig, Alvorlig
- Eksisterende tiltak
- Hvilken grad dekker tiltaket verdien?
- Verdien som blir rammet
- Avhengigheter
- Erfaringsgrunnlag
Beregne risikonivå (kvalitativt)
Risiko = (Sannsynlighet + Konsekvens) / 2
Beregne risikonivå (relativt)
Risiko = Sannsynlighet * Konsekvens
Når skal risikonivåes vurderes?
- Før tiltak
- Under tiltak
- Etter tiltak (Restrisiko)
Uvisshetsvurdering
Tidsdimensjon:
Enhver risiko må settes inn i et tidsperspektiv
Datagrunnlag:
Vurdere kvaliteten på innsamlet data
Risikoakseptkriterier
Risikoakseptkriterier
Kriterier som legges til grunn for beslutning om akseptabel risikonivå
- Sammenligne risikonivå opp mot risikoakseptkriterier
- Risikoakseptkriterier er vanligvis delt opp i 3 ulike farger:
- Grønn: Innenfor akseptansekriterier
- Gul: Innenfor akseptkriterier, men vurdere om tiltak skal implementeres
- Rød: Uakseptabel risiko, tiltak må iverksettes
Restrisiko
Restrisiko er risikonivået etter at tiltak er implementert
- Restrisiko må overvåkes og beslutningstakere må være kjent med restrisiko
