Beskriva risk och riskhantering?

Mattias Sjödin Informationssäkerhet

Då och då får jag frågan hur jag på enklaste möjliga vis skulle beskriva risk och hantering av risk. Det är en bra och enkel fråga, men som insnöad informationssäkerhetsnörd är det inte alldeles lätt att svara på ett begripligt sätt.

Risk

Så gott som allt vi tar oss för (och inte tar oss för) är förknippat med risk. En så enkel sak att kliva ur sängen på morgonen kan resultera i att man trillar, eller trampar snett med en stukad fot som följd. Struntar man i att kliva upp riskerar man att förr eller senare drabbas av liggsår, förutsatt att försörjning av mat och vatten fungerar – om inte är kanske inte liggsår den största risken.

Runt om oss i vardagen är vi utsatta för risker – att drabbas av sjukdom, råka ut för olyckor, förlora nära och kära, bli av med jobbet i spåren av pandemi eller ekonomisk recession, råka ut för arbetsskada i jobbet du inte blev av med och så vidare. Vi lever konstant med risker kopplade till oss själva och vår omgivning – ibland är vi medvetna om dem, ibland inte.

Riskbedömning

När vi väl är medvetna om en risk kommer vi vare sig vi vill eller inte att bedöma och utvärdera den. Innan vi kliver ut på den gamla slitna hängbron för att passera över den vilda floden som forsar fram under den, kommer vi omedvetet att både identifiera riskerna med att ta sig över den vägen och vi kommer bedöma såväl konsekvenser som sannolikhet. Åtminstone om vi har det som dagligdags kallas för konsekvenstänk.

När vi är på väg att passera den livligt trafikerade gatan i stan kommer samma mekanismer göra att vi gör en riskbedömning. Om det kommer en bil i femtio knyck och det inte är ett övergångsställe där vi tänker gå över så kommer riskbedömningen förhoppningsvis identifiera att både konsekvens och sannolikhet inte gör oddsen att ta sig över oskadd särskilt fördelaktiga.

Konsekvenserna förstår vi blir att vi skadas, kanske svårt, i värsta fall avlider. Sekundär konsekvens av att skadas svårt är invaliditet och att vi kanske inte längre kan arbeta med det vi gör.

Riskhantering

Som vi vet kan en risk hanteras på fyra olika sätt – vi kan;

  • Undvika risken
  • Minska risken
  • Överföra risken
  • Acceptera risken

Om vi bedömer att både sannolikhet och konsekvens i exemplet med att gå över gatan sammanvägt ger för hög risk så behöver vi hantera den. Det enklaste är att undvika risken – att helt enkelt strunta i att gå över gatan. Men å andra sidan, vi kanske måste komma till andra sidan för att nå vårt mål. Så då kanske vi kan minska risken – för ungefär hundrafemtio meter längre fram finns ett övergångsställe vid ett trafikljus. Konsekvensen för att skadas allvarligt minskar om vi tar den vägen istället och väntar på grön gubbe.

Men vi kan också göra mer än att bara minska risken. Vi kan teckna en olycksfallsförsäkring som visserligen inte minskar vare sig sannolikheten för att bli påkörda eller den omedelbara konsekvensen, men försäkringen kan mildra de negativa följdeffekterna av en skada. Genom att teckna försäkring har vi överfört en del av risken.

Om det nu inte kommer någon bil utan gatan är fri – den enda bilen som kommer ser ut att vara drygt hundra meter bort. Vi bedömer att sannolikheten är ganska så låg (även om konsekvensen naturligtvis är densamma om man skulle bli påkörd) så vi väljer att acceptera risken genom att gå över här och nu.

Återstående risk

Även om vi nu faktiskt har överfört del av risken genom en försäkring och minskat risken genom att kosta på oss den extra promenaden till trafikljuset så finns det en återstående risk. Trots allt kan det komma en bil som missar rödljuset och kör på en i alla fall. Men eftersom vi inte når målet med mindre än att vi tar oss över vägen så bedömer vi att vi lär få ta den risken i alla fall. Vi väljer då att acceptera den återstående risken.

Riskaptit

Själva målet med promenaden är att handla mat till kvällens middag och frukost morgonen efter. Kylen hemma gapar tom och magen kurrar. Lägenheten ligger rätt så ofördelaktigt så enda sättet att ta sig till affären är faktiskt att gå över gatan. Så även fast vi vet att det är förknippat med risker att ta sig till affären så är det ett värde för oss att faktiskt göra det. I exemplet är riskaptiten bokstavlig – hungern framåt seneftermiddagen gör att vi har en vilja, aptit, att ta risken för att stilla hungern.

Omsatt till verklighet i daglig verksamhet

I alla former av verksamheter måste vi hantera risker. Vi måste förhålla oss till vår riskaptit – trots allt måste vi ta risker för att komma framåt för allt går inte att undvika. Att göra en affär är att ta risk, det är här som begreppet riskaptit blir tydligast.

De allra flesta riskerna hanterar vi i vardagen på stående fot. Är vi rutinerade riskhanterare är vi medvetna om att vi gör det, och i den bästa av världar dokumenterar vi också alla de risker och riskhanteringar som är värda att dokumentera. Vi har vår riskhanteringsmatris klara för oss och vi lär oss mer och mer om oss själva och hur vi bäst hanterar risker.

Läs mer: Värdering av risk

Läs mer: Riskhantering

Mattias Sjödin

Jag arbetar som konsult, främst inom Informations- och IT-säkerhet där jag hjälper företag och organisationer med det mesta inom området. Jag har haft olika befattningar inom IT-branchen, bland annat som CISO inom ett större multinationellt företag speciliserat inom IT-infrastruktur och IT-tjänster så som outsourcing. Naturligtvis har jag bevisad kompetens och erfarenhet i ryggen genom CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.