I företagsvärlden är risk en term som ofta används i ett sammanhang där vi beskriver något icke önskvärt som kan inträffa. Inom IT finns det en konkret definition av risk som kan bistå våra organisationer i kampen för en effektiv riskhantering.
Risk = hot * sårbarhet
Risk är alltså hur stor sannolikheten är att en händelse eller incident inträffar som kan innebära allvarliga konsekvenser i kombination med hur sårbar organisationen är. Detta kan givetvis visa sig i olika former som exempelvis dataförlust, störningar, obehöriga ändringar av data, eller förstörelse. Hot kan definieras som sannolikheten att en skadlig incident faktiskt inträffar. Hot kan vara stora som små och bör behandlas med olika stora åtgärder och utförande. När vi tittar på ett hot, som exempelvis total skada i ett serverrum, så finner vi allt som oftast flertalet källor eller så kallade threat agents. I vissa fall kan det handla om en naturkatastrof eller missnöjd anställd som tar ett aktivt beslut att ställa till med förödande skada. Sist i ekvationen för risk har vi sårbarhet som kan definieras som en organisations brister eller svagheter som möjligtvis kan utnyttjas eller attackeras på ett eller annat sätt. Vi kan också kategorisera svagheter som avsiktliga eller oavsiktliga. En avsiktlig svaghet är exempelvis en utvecklare som lämnar en öppning in till systemet med intentionen att detta ska utnyttjas vid ett senare tillfälle i ett skadligt syfte. En oavsiktlig svaghet vara ett fel i tillverkningen eller ett konfigureringsmisstag som leder till säkerhetsproblem för vårt interna nätverk. Vad gäller sårbarheten är det något som kan motverkas och minskas genom skyddsåtgärder. Vår sårbarhet mot ett inbrott i hemmet är betydligt lägre om vi har låst dörren, högre om vi lämnat nyckeln under dörrmattan och betydligt högre om vi inte låst alls. Ni fattar.
När vi nu kort gått igenom dessa begrepp är det dags att prata om vilka valmöjligheter som finns tillgängliga för att ta ställning till hur vi bör hantera riskerna som har upptäckts.
Acceptans
Det innebär att vi identifierat en risk och gör ett medvetet val att inte agera överhuvudtaget. Det är ett beslut som grundar sig i att kostnaderna för att skydda denna resurs är högre än att bara leva med risken. Det innebär att organisationen är villig att betala för eventuella kostnader för att ersätta tillgången eller fixa delar av den. En försäkring för att skydda en specifik resurs kan vara oerhört dyr och, i kombination med att risken ligger på en lagom nivå, kan det i vissa fall vara värt att leva med risken och ersätta eventuella förluster.
Överföring
Det är ett simpelt koncept och går ut på att organisationen flyttar över kostnaderna för eventuella förluster till en extern entitet. Således är det en situation där en tredje part tar på sig ansvaret att lösa eventuella problem och kostnader, mot en betalning av organisationen. Ett simpelt exempel på detta är försäkringar.
Reducering
Reducering innebär att vi implementerar diverse skyddsåtgärder, antingen för att minska sannolikheten att risken inträffar eller att vi planerar handlingar och åtgärder för att effektivt kunna hantera konsekvenserna ifall risken inträffar. Å andra sidan är det principiellt omöjligt att totalt eliminera en risk, däremot kan den reduceras till en acceptabel nivå.
Undvikande
Sist innebär undvikande att organisationen eliminerar situationen helt och hållet. Ett exempel är att en organisation har en osäker databas som inte används och fattar beslutet att radera den helt och hållet, istället för att implementera skyddsåtgärder. Om du aldrig klättrar upp för en stege, så finns det inte heller en risk att du ramlar av en.
Många organisationer är medvetna om olika risker som kan orsaka signifikant skada mot den dagliga verksamheten, men i min mening finns det sällan en konkret process för riskhantering. Det gäller alltså att ha en individuell handlingsplan för alla tänkbara risker, i syfte att proaktivt agera för att skydda de tillgångar och resurser som vi anser vara värdefulla. Det är en fundamental del av verksamhetens strategiarbete som bör tas på allvar. Om ni inte redan har ett så är min starka rekommendation att redan idag påbörja ett så kallat riskregister.
Ahmad Gazzawi
BI-konsult på Vimur AB
