Digitaliseringsdirektoratet
Internkontroll/styringssystem (Versjon 1.5)
Internkontroll/styringssystem (Versjon 1.5)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikohåndtering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
Risikohåndtering er en aktivitet i risikostyringen som i hovedsak gjennomføres etter at risikovurderingen er utført. Som for risikovurdering er begrepene vi bruker forankret i ISO 31000 «Risikostyring» og i ISO/IEC 27005 Information security risk management.
Etter at risikovurdering er gjennomført, må det fattes beslutning om hvordan virksomheten skal håndtere de identifiserte risikoene. Dette handler i hovedsak om å identifisere og velge tiltak og deretter iverksette dem. I praksis er det ikke alltid et like klart skille mellom risikovurdering og første del av risikohåndteringen, det vil si å lage forslag til alternativ eller tiltak i risikohåndteringen.
Det er i hovedsak fire alternative måter å håndtere en risiko på:
Disse fire alternativene gjengis omtrent likelydende i flere anerkjente rammeverk og standarder, slik som ISO 31000, ISO/IEC 27005, COSO ERM mv. ISO 31000 har imidlertid splittet disse fire opp i sju alternativ:
Begrepene benyttes på tvers av ulike fagområder og gjelder således ikke bare risikohåndtering innenfor informasjonssikkerhet. Utvidelsen i ISO 31000 er i realiteten bare en ytterligere detaljering av de fire håndteringsalternativene beskrevet innledningsvis.
En forskjell mellom noen rammeverk og standarder, som kan ses i listen fra ISO 31000, er hvorvidt man med begrepet «risiko» mener bare negative konsekvenser, eller både negative og positive konsekvenser. De positive blir ofte kalt muligheter, enten som en type risiko eller som en motpol til begrepet risiko. Vi har omtalt denne forskjellen nærmere under Godt å vite – Hva er risiko? Ut fra den begrunnelsen vi har gitt der, har vi i dette veiledningsmateriellet valgt å ikke fokusere på «positive risikoer». Vi følger dermed en mer tradisjonell tilnærming der risikofokuset er på negative konsekvenser.
Vi vil i fortsettelsen av denne veilederen også konsentrere oss primært om fire hovedalternativ og ikke sju. Nedenfor gir vi en kort beskrivelse av hva hvert håndteringsalternativ kan innebære:
Noen ganger kan det være formålstjenlig å stoppe et prosjekt eller en arbeidsoppgave dersom risikoen anses for høy, selv etter at relevante tiltak er iverksatt. Eksempler på dette kan være at et prosjekt stoppes fordi virksomheten ikke har nødvendige ressurser til å iverksette tiltak, eller at kostnadene forbundet med reduksjon av risiko blir så store at prosjektet aldri vil bli lønnsomt.
Å unngå risiko trenger samtidig ikke alltid bety at man slutter med en aktivitet eller legger ned deler av virksomheten. Et eksempel på dette kan være å fysisk flytte serverrom eller lignende fra kjelleretasjen til et område som ikke er like utsatt for vannlekkasjer. På denne måten unngås risiko for vannskader tilknyttet flom osv.
Forsikring er den vanligste formen for deling av risiko. I denne sammenhengen er det verdt å bemerke at staten i svært liten grad forsikrer sine verdier gjennom avtaler med private forsikringsselskap. Staten er selvassurandør, og dette reguleres gjennom Reglement for økonomistyring i staten § 20. Forsikring vil derfor ytterst sjeldent eller aldri være et alternativ for statlige forvaltningsorgan.
Det finnes også andre muligheter for deling av risiko. Mange virksomheter finner det hensiktsmessig å tjenesteutsette deler av virksomheten og inngå tjenestenivåavtaler (SLA). I slike avtaler kan det for eksempel være klausuler om økonomisk erstatning ved tap av visse typer informasjon, det kan være avtalt økonomisk kompensasjon ved tjenesteavbrudd over en viss tid, og lignende.
Det er viktig å være klar over at virksomhetens ansvar ikke kan overføres eller flyttes. Det er i de tilfeller der en identifisert risiko kan gi store økonomiske konsekvenser for virksomheten, at dette er et alternativ for å redusere denne konsekvensen.
Dette handler om å iverksette sikkerhetstiltak. Sikkerhetstiltakene skal som hovedregel virke over tid og har som målsetting å redusere risikoens konsekvens og/eller sannsynlighet, slik at risikoen reduseres til et nivå som kan aksepteres.
Tiltak som iverksettes for å redusere risiko har ulike formål. Vi snakker i hovedsak om tre formål:
Noen sikkerhetstiltak er sammensatte og kan derfor virke inn på flere av formålene over.
Det er viktig å huske på at tiltak som iverksettes i mange sammenhenger kan ha innvirkning på flere risikoer. Et eksempel på et slikt tiltak kan være et opplærings- og bevisstgjøringsprogram som antagelig vil være egnet til å redusere flere risikoer, ved at man tar opp ulike tema. Man skal imidlertid være oppmerksom på at et tiltak som iverksettes for å redusere én risiko, også kan påvirke andre risikoer i negativ retning. Et slikt eksempel kan være å ta i bruk kryptering av lagrede data for å sikre konfidensialitet, som kan medføre dårligere ytelse på en server og dermed dårligere tilgjengelighet på informasjon som har høye tilgjengelighetskrav. Hvordan og i hvilken grad tiltakene kan gi negative sideeffekter, må vurderes.
Dette håndteringsalternativet er i realiteten å ikke foreta seg noe. Dette vil kunne være aktuelt dersom det er i henhold til virksomhetens kriterier for å akseptere risiko. Alternativet vil også kunne velges ved større risikoer etter en veloverveid beslutning av dem som har fullmakt til det. Det siste er løsningen når det ikke er aktuelt å velge noen av de andre alternativene.
Det kan være mange forskjellige faktorer som påvirker hvilke håndteringsalternativ og konkrete tiltak som velges når en risiko skal håndteres. For hver enkelt risiko må man ta høyde for at ulike forhold kan ha avgjørende betydning for valget man står overfor. Dette kan være lover og regelverk, føringer fra ledelsen og kontraktmessige forhold.
På samme måte som at en virksomhet ikke uten videre kan slutte med en aktivitet som overordnet departement har initiert og finansiert gjennom tildelingsbrev, kan heller ikke risikoeier beslutte at enkeltprosjekter eller lignende skal legges ned dersom ledelsen har fattet vedtak om at disse skal gjennomføres. Selv om risikoen tilsynelatende er såpass stor at det kan fremstå lite kost/nytte-effektivt å implementere tiltak, vil det være tilfeller der man rett og slett ikke kan slutte med aktiviteten. I disse tilfellene sitter man igjen med de tre øvrige håndteringsalternativene.
Videre er det ingenting i veien for å vurdere flere håndteringsalternativ tilknyttet én risiko, eksempelvis ved at det besluttes å implementere ett eller flere sikkerhetstiltak for å redusere konsekvensen, og at den gjenværende risikoen aksepteres. Det kan i noen tilfeller også være hensiktsmessig å dele den gjenværende risikoen via en tjenestenivåavtale, gitt at risikoen er av en slik art at det kan gi store økonomiske konsekvenser for virksomheten dersom den inntreffer.
Valg av håndteringsalternativ og tiltak må ses i sammenheng. Ett håndteringsalternativ eller tiltak kan påvirke flere risikoer, både i positiv og negativ retning. Dette er viktig å huske på når tiltakene velges, planlegges og implementeres.
For hver risiko som skal håndteres ifølge virksomhetens akseptkriterier, må det besluttes hvilke tiltak som er best egnet. Som en tommelfingerregel bør virksomheten velge de tiltakene som reduserer den enkelte risiko mest til en lavest mulig kostnad. Altså bør det ligge en kost/nytte-tankegang allerede i planleggingen av tiltakene.
De tiltakene som velges, bør settes opp i en tiltaksplan. I denne planen bør det fremgå hvem som har ansvaret for å iverksette hvilke tiltak, og hvilke frister som gjelder. Tiltaksplanen bør også vise hvilke risikoer de ulike tiltakene forsøker å gjøre noe med, for å sikre sporbarhet i arbeidet.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
