Digitaliseringsdirektoratet
Internkontroll/styringssystem (Versjon 1.5)
Internkontroll/styringssystem (Versjon 1.5)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikovurdering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
Risiko handler om potensielle avvik fra det forventede eller potensielle avvik fra våre mål. Med det referansepunktet defineres risiko formelt som en kombinasjon av mulige konsekvenser (utfall eller resultat) og tilhørende usikkerhet.
Usikkerhet kvantifiseres ved hjelp av sannsynligheter. Vi benytter derfor ofte en variant av definisjonen foran og sier at risiko er kombinasjonen av (mulige) konsekvenser og (tilhørende) sannsynligheter, eller bare at risiko er kombinasjonen av konsekvens og sannsynlighet. Ordene i parentes er ofte underforstått og utelatt, slik som i entallsformen i siste del av uttrykket.
I tillegg til konsekvens og sannsynlighet beskriver vi ofte risikoer ved å referere til potensielle initierende eller utløsende hendelser. Dette gir et helhetsuttrykk for risiko som dekker både det utløsende (mulig hendelse) og selve risikoen (mulig konsekvens og tilhørende sannsynlighet).
Selv om definisjonene innebærer at risiko kan være både negativ og positiv, er det i forbindelse med informasjonssikkerhet mest vanlig å kun rette søkelyset på det negative, og på uønskede hendelser. Det har vi også valgt å gjøre i dette veiledningsmateriellet.
Det finnes flere definisjoner av risiko, men de fleste er bygd rundt den samme kjernen. Digitaliseringsdirektoratet legger til grunn den internasjonale definisjonen i ISO Guide 73:2009, som benyttes i ISO/IEC 27001. Vi støtter oss samtidig til formuleringene til professor Terje Aven ved Universitetet i Stavanger, samt hvordan den norske standarden NS 5814:2008 sier at risiko skal beskrives (jf. standardens pkt. 4.4).
For å kunne arbeide med, vurdere og forstå risiko benytter man som regel en form for risikomodell – der forskjellige elementer eller faktorer inngår, og kan vurderes hver for seg. Et eksempel på en slik modell er illustrert i figur 3 i kapittel 2 i NIST 800-30 rev 1 Guide for Conducting Risk Assessments.
Eksempelet fra NIST inneholder en relativt kompleks modell. Den bruker bl.a. faktorer som angir sannsynlighet for forskjellige ting. Det finnes også enda mer komplekse modeller. Avanserte brukere, med komplekse behov, vil kunne finne nytte i den som er i IRAM 2 fra ISF. Metoden for vurdering av risiko som er beskrevet i dette veiledningsmateriellet benytter en enklere modell, som vil dekke behovet til de aller fleste.
En potensiell hendelse kan få mange alternative konsekvenser med ulik sannsynlighet. Merk derfor at når vi skal uttrykke sannsynlighet, så er det oftest ikke nok å estimere sannsynligheten for at den utløsende hendelsen skal inntreffe. Estimatet av sannsynlighet må også dekke at den konsekvensen vi har valgt å se på, faktisk blir utfallet av hendelsen. Det er da hendelse, konsekvens og sannsynlighet blir et riktig uttrykk for risiko.
Dette har mindre betydning dersom vi alltid konsentrerer oss om den mest trolige eller forventede konsekvensen av en hendelse, og dette er den klart mest sannsynlige konsekvensen. Det har imidlertid større betydning dersom vi konsentrerer oss om f.eks. den potensielt verste eller beste konsekvensen, som begge kan være sjeldne og lite sannsynlige konsekvenser av en hendelse.
Hvilke typer konsekvenser en ønsker eller er pålagt å ta for seg og formidle, kan i en del sammenhenger gjøre det naturlig å synliggjøre flere risikoer ved den samme hendelsen. Dette kan eksempelvis være både den mest trolige eller forventede konsekvensen med tilhørende sannsynlighet og den potensielt verste konsekvensen med tilhørende sannsynlighet. En slik presentasjon gir en spennvidde i risikokommunikasjonen som enkelte beslutningstakere ønsker å få.
Moderne risikovurderinger er kunnskapsbaserte og uttrykker vår tro om noe i fremtiden. Når vi utfører vurderinger av potensielle hendelser, mulige konsekvenser og deres sannsynligheter, bygger vurderingene på den kunnskapen vi har fra før, og den vi etablerer gjennom diskusjoner underveis i arbeidet. Vurderingene blir selvsagt også preget av mangelen på kunnskap. Hvor god er forståelsen vår av hendelsene som vurderes, og hvor gode grunnlagsdata har vi? Denne delen av usikkerheten kan det være viktig eller nyttig å si noe om når vi presenterer resultatene fra risikovurderingen.
På denne bakgrunn er det blitt stadig mer vanlig i risikovurderinger å gi en tilleggsbeskrivelse av hvor usikre vi er på estimeringen av risikoen, dvs. usikkerheten ved anslagene for konsekvens og tilhørende sannsynlighet.
Hvordan uttrykke usikkerhet
Ofte benyttes enkle graderinger som stor, middels eller lav usikkerhet. Disse kan kobles direkte på den enkelte risiko, eksempelvis i en tradisjonell risikotabell. Det finnes også fremstillingsmåter som synliggjør denne usikkerheten i risikomatriser, eksempelvis ved bruk av ulik fargekode eller størrelse på de enkelte risikosymbolene.
Alternativt kan usikkerhetsnivåene omtales mer generelt for flere risikoer samlet i et risikovurderingsnotat eller en risikovurderingsrapport.
Uavhengig av fremstillingsmåte blir det opp til beslutningstaker, med basis i eventuelle føringer fra ledelsen, hvordan de skal ta hensyn til slike eventuelle ekstra usikkerhetsuttrykk i kombinasjon med de mer tradisjonelle konsekvens-, sannsynlighets- og risikouttrykkene.
Et eventuelt arbeid med å uttrykke usikkerhet ved hver enkelt risiko må ses i et kost/nytte-perspektiv. På kritiske områder kan det være viktig, mens det på andre områder kan bli for detaljert. Å gi en kort oppsummering av usikkerheten ved vurderingene samlet bør imidlertid kunne gjøres enkelt i et risikonotat eller lignende. Det vil oftest være et positivt bidrag i all risikokommunikasjon.
Det har i risikoarbeid tradisjonelt vært vanlig å bare legge vekt på uønskede hendelser og negative konsekvenser. De fleste veiledninger og verktøy for risikovurdering har denne tilnærmingen.
I de siste ISO-standardene og i en del andre sammenhenger blir også mulige positive konsekvenser inkludert i risikobegrepet. Risiko handler da om usikkerhet rundt måloppnåelse generelt. Usikkerheten kan være påvirket av både trusler og muligheter og dermed gi både negative og positive resultater i henhold til målet.
Noen mål er utformet slik at resultatet bare kan være 100 % måloppnåelse eller dårligere. Risikoen vil ved slike mål alltid være negativ. Andre mål er utformet slik at virksomheten kan få resultater som både er bedre eller dårligere enn målet. Risikoen kan da være både positiv og negativ.
Forskjell i ulike fagmiljø
I noen fagmiljø, f.eks. innen samfunnsøkonomi og enkelte prosjektmetoder, legges det fremdeles kun vekt på negative konsekvenser når de snakker om risiko. Risiko blir da motpol til muligheter, og analysen som omfatter begge kalles ofte usikkerhetsvurdering i stedet for risikovurdering.
Forskjellen handler i realiteten om terminologi og har liten praktisk betydning. En virksomhet som tar for seg både positive og negative konsekvenser, bør imidlertid vurdere å etablere en ensartet terminologi internt.
Fokus i dette veiledningsmateriellet
Det finnes per i dag lite av godt utbredte og anerkjente veiledninger og verktøy for å arbeide med «positive risikoer» innen informasjonssikkerhet. Samtidig vil delmålene innen informasjonssikkerhet ofte være utformet slik at resultatet bare kan være 100 % måloppnåelse eller dårligere. Siktemålet vil da naturlig være på uønskede hendelser og negative konsekvenser.
Vi har derfor valgt å ikke se på positive risikoer i dette veiledningsmateriellet.
Ved risikoer som er så store at virksomheten kanskje bør vurdere å ikke utføre aktiviteten som medfører risikoen, må beslutningstaker imidlertid vurdere risikoene ved aktiviteten opp mot nytten av aktiviteten. En slik vurdering vil være en variant av perspektivet på muligheter eller positive risikoer.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
