Risikostyring for digital sikkerhet

Artikkelen nedenfor gir en innføring i risikostyring for digital sikkerhet.

RisikotrekantenRisikotrekanten.

Sikkerhetsrisiko oppstår når verdier kan skades som følge av at trusler utnytter sårbarheter. Figuren viser at risikonivået (størrelsen på trekanten) øker proporsjonalt med (i) verdienes mengde/størrelse, (ii) truslenes styrke, og (iii) sårbarhetenes alvorlighet. Sagt på en annen måte, jo flere og større verdier virksomheten har, jo flere og sterkere trusler virksomheten er utsatt for, og jo flere og mer alvorlige sårbarheter virksomheter har i sin infrastruktur, desto større sikkerhetsrisiko har virksomheten.

Balanse for risikostyringBalanse for risikostyring.

Risikostyring er et sentralt element i styring og ledelse av informasjonssikkerhet. Risikostyring er å sørge for at sikkerhetsrisikoen ligger på et akseptabelt nivå. Det gjøres hovedsaklig med å innføre sikkerhetstiltak som fjerner eller reduserer sårbarheter, slik at relevante trusler stoppes. Hva som er et akseptabelt risikonivå varierer fra virksomhet til virksomhet, og avhenger av risikoappetitten. Sagt på en annen er risikostyring for digital sikkerhet å balansere sikkerhetsrisikoer med adekvate sikkerhetstiltak. Figuren nedenfor viser elementene som inngår i risikostyring, som beskrevet i standarden ISO/IEC 27005: Veileder for risikostyring av informasjonssikkerhet.

RisikostyringRisikostyring av informasjonssikkerhet, i henhold til ISO/IEC 27005.

Risikovurdering (ofte kalt ROS-analyse) som inngår i risikostyring, består av et sett med trinn som vist på figuren nedenfor.

RisikovurderingRisikovurdering (ROS-analyse) som del av risikostyring .

Se regneark for kvalitativ risikovurdering.

Risikovurdering er en av de tre kildene til krav om informasjonssikkerhet som danner grunnlag for å velge tiltak for digital sikkerhet. De tre kildene er:

  • Vanlig god praksis: Krav om adekvat sikkerhet i forretningsprosesser i henhold til vanlig god praksis og forvaltning. Vanlig god praksis setter f.eks. krav om brukerautentisering der statiske passord er den enkleste løsningen, men som kun gir relativt svak autentisering.
  • Risikovurdering: Krav om å begrense sikkerhetsrisiko til et akseptabelt nivå. Tiltak identifiseres gjennom risikovurdering (ROS-analyse) og plan for risikohåndtering. Risikovurdering kan f.eks. peke på nødvendigheten av å innføre 2-faktorautentisering, som kan gi sterk autentisering.
  • Regelverk: Juridiske, lovbestemte, regulatoriske, bransje- og kontraktsmessige krav til informasjonssikkerhet, f.eks.:
    - Sikkerhetsloven setter en rekke krav om sikkerhetstiltak for virksomheter som er underlagt loven.
    - GDPR setter krav om beskyttelse av persondata.
    - Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (bransjenorm).
    - PCI DSS (Payment Card Industry Data Security Standard) (bransjenorm)

    Merk at regelverk og juridiske krav om informasjonssikkerhet ofte henviser til risikovurdering som et krav og et verktøy for å identifisere nødvendige sikkerhetstiltak.
Publisert 22. aug. 2023 13:57 - Sist endret 6. okt. 2023 08:17
Del på e-post