Riskhantering inom informationssäkerhet

Vad är en risk?

En risk handlar om något som kan hindra oss från att nå våra mål. Det kan vara en händelse som påverkar verksamheten negativt till exempel genom att information blir fel, hamnar hos obehöriga eller inte finns tillgänglig när den behövs. Begreppen riskanalys och riskbedömning används synonymt i vissa fall. Här kommer vi använda termen riskanalys.

Informationssäkerhetsrisker

I det systematiska informationssäkerhetsarbetet brukar man skilja mellan:

Ledningssystemet för informationssäkerhet som helhet: till exempel hur vi styr och utvecklar vårt arbete med informationssäkerhet.
En viss informationshantering: till exempel när vi upphandlar system, hanterar studentuppgifter eller använder ett IT-system i vardagen.

Att se över både risker och möjligheter i ledningssystemet för informationssäkerhet (LIS) lyfts styrkor som organisationen kan använda för att jobba på ett effektivt sätt med informationssäkerhet. Vid viss informationsbehandlig handlar det bara om att identifiera risker.

Målet är alltid att skydda informationens:

Konfidentialitet: att obehöriga inte får tillgång till den
Riktighet: att informationen inte förändras eller förstörs
Tillgänglighet: att den går att använda när den behövs

Begrepp inom riskhantering

Begrepp	Förklaring
Riskbedömning	Inkluderar delarna riskidentifiering, riskanalys och riskvärdering.
Riskidentifiering	Identifiera och upptäcka de risker som kan bidra till eller förhindra att målet uppfylls.
Riskanalys	Systematisk identifiering, analysering och värdering av risker och dess eventuella konsekvenser som kan påverka informationens konfidentialitet, riktighet och tillgänglighet.
Riskvärdering	Gradering av riskens sannolikhet och konsekvens. Ska ge stöd för fortsatt hantering/behandling av risk.
Riskbehandling	Kan omfatta ett eller flera alternativ: undvika risken, eliminera risken, förändra sannolikhet/konsekvenser, dela upp risktagandet, ta risken.

Riktlinje riskhantering – Region (msb) (pdf)

Riskanalys

Vad är en riskanalys?

En riskanalys hjälper oss att upptäcka vilka risker som finns och hur allvarliga de är.

Exempel på frågeställningar i riskanalysen:

Vad behöver skyddas och mot vem eller vad?
Hur kan informationen påverkas?
Vad skulle hända om en oönskad händelse inträffar?
Vad händer om något går fel?

Syftet är att kunna prioritera rätt skyddsåtgärder.

Steg 1: oönskade händelser

En riskanalys börjar med att identifiera oönskade händelser. De består av tre delar:

Hot: till exempel misstag, stöld, bedrägeri eller olyckor.
Sårbarhet: till exempel bristande säkerhetsrutiner eller bristande kommunikation.
Konsekvens: vad som händer om hotet utnyttjar en sårbarhet.

En risk uppstår när ett hot, tillsammans med en sårbarhet, leder till en negativ konsekvens. Hot, sårbarhet och konsekvens måste därför finnas med när vi undersöker vilka risker som finns i vår verksamhet.

Steg 2: sannolikhet och konsekvens

Nästa steg är att bedöma hur sannolikt det är att händelsen inträffar och vilka konsekvenser den skulle få.

Sannolikhet: hur troligt är det att det händer?
Konsekvens: hur allvarligt blir det om det händer?

Högskolan har en mall för riskvärdering att använda som stöd inför riskanalys eller när klassningen påvisar låga risker och en mindre riskanalys behövs.

Riskvärdering mall Högskolan Dalarna (docx)

Sannolikhetsnivåer

I en riskanalys finns olika sannolikhetsnivåer som hjälper dig att bedöma sannolikheten för en händelse.

Nivå	Definition	Förklaring
Mycket stor sannolikhet 3	Mindre än 1 månad	Händelsen är mycket trolig och nästan säker att den kommer att inträffa
Stor sannolikhet 2	1 månad - 1 år	Händelsen är trolig och förväntas inträffa
Liten sannolikhet 1	1 år - 10 år	Händelsen är osannolik men kan inträffa ibland
Osannolikhet 0	Mer än 10 år	Händelsen är extremt liten, nästan försumbar att den inträffar

Konsekvensnivåer och konsekvenskategorier

I en riskanalys finns konsekvensnivåer och konsekvenskategorier som hjälper dig att bedöma hur stora konsekvenser en händelse får.

Konsekvensnivåer	Definition	Förklaring
Informationsklass 0 (försumbar)	Inga konsekvenser eller försumbara konsekvenser	Öppen information som kan spridas fritt inom och utom organisationen
Informationsklass 1 (låg, måttlig)	Kan medföra obehag eller begränsad ekonomisk förlust för enskilda personer, eller begränsad skada för högskolan eller tredje part	Intern information som om den sprids till obehöriga kan medföra måttliga negativ påverkan på organisationen, externa aktörer eller individer
Informationsklass 2 (medel, betydande)	Kan orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för högskolan eller tredje part	Kan exempelvis vara ett systemavbrott som varar längre än ett dygn men kan vara upp till ett par veckor vid betydande händelser
Informationsklass 3 (hög, allvarlig)	Kan medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag, eller ekonomisk förlust för ett stort antal personer, eller mycket allvarlig skada för högskolan eller tredje part	Kan exempelvis vara avbrott i en eller flera kritiska verksamheter som kräver omfattande omprioriteringar av verksamheten vid högskolan

Riskmatris, klassningsmatris och risknivåer

Nästkommande steg är att titta på informationens eventuella utfall och konsekvenser om informationen är felaktig, inte är tillgänglig, eller sprids på ett otillåtet sätt. Varje informationssäkerhetsaspekt klassas i en av fyra konsekvensnivåer i klassningsmatrisen:

Försumbar
Måttlig
Betydande
Allvarlig

Dessa konsekvensnivåer påverkar de krav som ställs på skyddet av informationen.

Säkerhetsåtgärder inom informationssäkerhet - Högskolan Dalarna

Riskmatrisen – en översikt över risknivåer

För att få en överblick används en riskmatris. I den placeras riskerna utifrån sannolikhet och konsekvens. Resultatet visar vilka risker som är mest allvarliga och behöver hanteras först.

Riskmatris Högskolan Dalarna (pdf)