Når vi snakker om datasikkerhet, er det lett å falle inn i tankegangen om «hvordan vi skal forsvare oss» mot digitale trusler og angrep.
Spørsmål som dukker opp handler ofte om forebyggende tiltak og hva man gjør i en krisesituasjon. Men hvordan forstår vi egentlig risikoen? Hva er det som gjør en organisasjon til et mål? Og hva koster det egentlig å gjenopprette normal drift etter et dataangrep?
En datasikkerhetsrisikovurdering kan gi svar på disse spørsmålene. Derfor er en slik vurdering et kritisk element når man utvikler en robust datasikkerhetsstrategi.
Hva innebærer en datasikkerhetsrisikovurdering?
En datasikkerhetsrisikovurdering er en systematisk prosess som bidrar til å harmonisere en organisasjons datasikkerhetsplan med dens overordnede forretningsmål. Den gir også en dypere forståelse av disse målene og en evaluering av de ressursene som er nødvendige for å opprettholde kontinuitet.
Vurderingsrapporten vil omfatte en rekke aspekter knyttet til datasikkerhet, og kan også forbedre organisasjonens motstandskraft mot digitale angrep.
Dette inkluderer alt fra identifisering av trusler til vurdering av aktiva og forsikringsdekning. All denne informasjonen vil gi beslutningstakere og ledelse et solid grunnlag for å ta velinformerte beslutninger, både ved en potensiell trussel og i etterkant av en hendelse.
Betydningen av risikovurdering innen datasikkerhet
En risikovurdering gir en oversikt over trusselbildet. Dette hjelper deg med å forstå sannsynligheten for et angrep, hva potensielle angripere kan være ute etter, og de mulige konsekvensene av et slikt angrep.
Det gir ikke bare innsikt i hvilke trusler organisasjonen står overfor, men også hvordan disse truslene kan manifestere seg og hvilken innvirkning de kan ha.
Dette resulterer i et helhetlig bilde av hva man kan gjøre i tilfelle et vellykket dataangrep.
Med andre ord, en datasikkerhetsrisikovurdering gir et klarere bilde av risikonivået knyttet til cyberangrep. Dette gjør at organisasjonen, dens interessenter og alle som har et ansvar i organisasjonen, kan forberede seg bedre, redusere risikoen og ha en solid plan klar.
Ulike typer risikovurderinger
Selv om trinnene for en datasikkerhetsrisikovurdering stort sett er standard, finnes det flere typer vurderinger.
Vurderingstypen bestemmer nøyaktig hva organisasjonen fokuserer på når den skal evaluere sine sikkerhetsbehov.
#1. Generell vurdering
En spørreskjemabasert vurdering omfatter enkle, men viktige tiltak for å redusere sikkerhetsrisikoen.
Eksempler kan være status på passordpolicyer, hvilken type brannmur som brukes, rutinemessige sikkerhetsoppdateringer og retningslinjer for autentisering/kryptering.
Denne metoden er enkel og grei, men den passer ikke nødvendigvis for alle typer organisasjoner. Den kan være hensiktsmessig for organisasjoner med begrensede ressurser og mindre sensitive data.
#2. Kvalitativ risikovurdering
Kvalitativ risikovurdering er i større grad basert på skjønn. Den avhenger av den eller de som utfører vurderingen, og deres bakgrunn for å diskutere potensielle trusler som datainnbrudd og økonomisk risiko.
Denne type vurdering innebærer ikke nødvendigvis en formell rapport, men heller en «brainstorming»-sesjon med ledere som har ansvar for organisasjonen.
#3. Kvantitativ risikovurdering
Kvantitativ vurdering baseres på harde data og analyser for å beregne risiko.
Denne vurderingen er velegnet for større organisasjoner med høyere økonomisk risiko og større og mer verdifulle dataressurser.
#4. Stedspesifikk risikovurdering
Stedspesifikke risikovurderinger fokuserer på et enkelt tilfelle, enten det er en del av organisasjonen eller et bestemt sted. Denne typen vurdering er svært spesifikk.
Den evaluerer et bestemt nettverk, en teknologi eller lignende statiske faktorer. Den vil ikke være nyttig for resten av organisasjonen.
#5. Dynamisk risikovurdering
Dynamisk risikovurdering tar for seg risikoer som endrer seg i sanntid.
For at den skal være effektiv, må organisasjonen overvåke og håndtere trusler/angrep etter hvert som de oppstår.
Trinn for å gjennomføre en datasikkerhetsrisikovurdering
Trinnene for å utføre vurderingen vil variere avhengig av organisasjonen og ressursene som er tilgjengelige.
Selv om fremgangsmåten er ganske lik, vil det være noen justeringer for ulike organisasjoner. Dette gjelder for eksempel antall trinn, hvordan de kategoriserer og prioriterer hvert trinn.
Her ser vi på ni trinn som hjelper deg med å gå gjennom alle detaljene og gjennomføre en grundig datasikkerhetsrisikovurdering.
#1. Identifiser dine ressurser
Det er avgjørende å identifisere alle ressurser i organisasjonen. Dette bør være en prioritet.
Ressurser kan være maskinvare (bærbare datamaskiner, mobiltelefoner, USB-stasjoner), programvare (gratis eller lisensiert), filer, PDF-dokumenter, strøminfrastruktur og til og med papirdokumenter.
Noen ganger må man også inkludere nettjenestene organisasjonene benytter seg av som en ressurs, ettersom disse påvirker deler av virksomheten direkte eller indirekte.
Et eksempel kan være skylagringstjenesten som brukes til å lagre dokumenter.
#2. Identifiser truslene
Basert på ressursene dine, kan du identifisere potensielle trusler knyttet til disse.
Hvordan gjør man det? En enkel metode er å følge med på trender og nyheter om digitale trusler. Dermed vil organisasjonen få en oversikt over trusselbildet.
De kan også benytte seg av trusselbiblioteker, kunnskapsbaser og ressurser fra myndigheter og sikkerhetsbyråer for å lære om ulike typer cybertrusler.
Til slutt kan man også benytte rammeverk som «cyber kill chain» for å evaluere hvilke tiltak som må iverksettes for å beskytte ressurser mot disse truslene.
#3. Vurder dine sårbarheter
Når du kjenner ressursene og de potensielle truslene, må du vurdere hvordan en angriper kan få tilgang til disse.
Hvis enheter, nettverk eller andre ressurser har sårbarheter, kan det gi ondsinnede aktører mulighet til å utnytte disse for å få uautorisert tilgang.
Sårbarheter kan finnes i operativsystemet på en datamaskin, en mobiltelefon, en bedriftsportal eller en nettkonto. Alt kan potensielt være sårbart. Selv et enkelt passord som er lett å knekke, kan regnes som en sårbarhet.
Du kan sjekke offentlige registre over kjente sårbarheter for å lære mer.
Kort sagt, sårbarheter kan finnes hvor som helst, enten det er i systemet eller utenfor. Det er viktig å iverksette tiltak for å eliminere vanlige/kjente sårbarheter.
#4. Beregn risikoen
Risiko beregnes ut fra ressursens trussel, sårbarhet og verdi.
Risiko = Trussel x Sårbarhet x Verdi
Når man vurderer risiko, handler det om sannsynligheten for at en trussel vil påvirke organisasjonen.
Det er logisk at jo høyere sannsynlighet, jo høyere risiko. Men dette er ikke helt forutsigbart, ettersom trusselbildet stadig er i endring.
Derfor bør man beregne risikonivået, altså hvor betydelig risikoen er hvis noe blir utnyttet. Risikonivået kan bestemmes ved å diskutere hvilken ressurs som er mest verdifull og hvilken innvirkning det vil ha på organisasjonen hvis den blir kompromittert eller stjålet.
Dette kan variere fra organisasjon til organisasjon. For eksempel kan en PDF-fil være offentlig tilgjengelig informasjon for et selskap, mens den kan være svært konfidensiell for et annet.
#5. Prioriter risikoene
Når risikonivåene er fastsatt, blir det lettere å prioritere dem.
Hva bør du fokusere på å beskytte først? Det er naturlig å prioritere typer angrep som er mer sannsynlige, og angrep som kan forårsake størst skade.
Dette kan være subjektivt, men ved å kategorisere risikoene får man en prioritert rekkefølge.
Prioriteringen kan baseres på:
- Risikoenes verdi.
- Risikoer basert på maskinvare, programvare og eksterne faktorer som leverandører og transporttjenester.
- Risikoer basert på konsekvensene av at en bestemt risiko realiseres.
For å utdype disse tre punktene:
Hvis en risiko er verdsatt til 1 million dollar, og en annen risiko er verdsatt til 1 milliard dollar, er det naturlig at den sistnevnte får mest oppmerksomhet.
Hvis forretningsmålene dine er mer avhengig av maskinvare enn eksterne faktorer, vil maskinvaren prioriteres.
På samme måte bør en risiko med store konsekvenser prioriteres høyere.
#6. Implementer sikkerhetstiltak
Når vi snakker om å implementere sikkerhetstiltak, refererer det til de tiltakene som hjelper til med å håndtere risiko.
Tiltakene kan bidra til å redusere risiko, og i noen tilfeller eliminere den helt.
Dette kan være alt fra å håndheve tilgangskontroll og strenge passordpolicyer til å implementere brannmur, som alle bidrar til å håndtere risiko.
#7. Overvåk og forbedre
Alle ressurser, sårbarhetsoppdateringer og potensielle risikoer må overvåkes for å finne forbedringspotensial.
Datasikkerhetstrusler er stadig i utvikling og kan overmanne en solid sikkerhetsstrategi. Derfor er det viktig å jevnlig vurdere alle beredskapsplaner.
Sikkerhetsrevisjoner er nyttige, men det er viktig å fortsette overvåkningen selv etter positive resultater i en revisjon.
Manglende overvåkning kan svekke beredskapen mot digitale trusler.
#8. Overholdelse av lover og forskrifter
En datasikkerhetsvurdering kan hjelpe organisasjonen med å følge spesifikke standarder og lover. Det kan likevel være nyttig å sjekke opp dette nærmere.
Ikke utfør vurderingen kun for å oppfylle et krav om overholdelse, men utfør vurderingen og gjør justeringer for å oppfylle alle lovkrav og standarder, slik at du kan operere uten å bryte noen regler.
For eksempel er det nødvendig å overholde HIPAA hvis organisasjonen behandler helseinformasjon i USA.
Sjekk de regulatoriske kravene som gjelder for organisasjonen, basert på geografisk plassering, og jobb deretter ut fra dette.
#9. Kontinuerlig forbedring
Uansett hvor gode tiltak, kontroller og trusselanalyser er, vil det alltid være nødvendig med kontinuerlig innsats for å forbedre disse.
Hvis en organisasjon ikke revurderer, forbedrer eller gjør endringer for å rette opp eller forbedre ting, kan datasikkerhetsstrategien mislykkes raskere enn forventet.
Risikovurdering av datasikkerhet er essensielt
Risikovurdering av datasikkerhet er viktig for alle typer organisasjoner.
Uansett størrelse og avhengighet av nettjenester, vil en slik vurdering bidra til å gi ledere, interessenter og leverandører innsikt i ressursene som trengs for å opprettholde sikkerhet og minimere skade etter eventuelle angrep.
Det kan også være nyttig å sjekke sjekklisten for datasikkerhet for små og mellomstore bedrifter.