Risk är kombinationen av hur sannolikt det är att någonting kommer att ske, och konsekvenserna av om det skulle ske. Under riskanalysen tittar man på dessa separat, men väger samman dem i en sammantagen värdering av risken.
Simpel modell för riskvärdering
I sin enklaste form är riskvärderingen kombinationen mellan sannolikhet för att risken (scenariot) ska inträffa och den konsekvens och påverkan som i så fall skulle bli följden.
I matrisen ovan vill jag försöka visa hur man på ett så enkelt sätt som möjligt kan göra en sammantagen värdering. Till att börja med behöver man en definierad skala över både sannolikhet och konsekvens.
Tankegångarna runt sannolikhet är att det lägsta värdet motsvarar ”det kommer högst sannolikt aldrig att inträffa”, och det högsta motsvarar ”vi kan utgå från att det kommer att hända”. Ungefär samma tänk gäller konsekvens. Det lägsta värdet motsvarar ”det skulle inte spela någon som helst roll”, och det högsta motsvarar ”fullständig katastrof”.
Utökad modell för riskvärdering
Även om matrisen ovan går att tillämpa i många olika riskanalyssituationer så saknas perspektivet kring hur utsatt man faktiskt är för risken vilket kan vara värdefullt att ha med särskilt när det kommer till IT- och informationssäkerhetsrisker.
I grunden bygger matrisen på samma tänk som i den förenklade, men med den skillnaden att man behöver bedöma hur utsatt man är för en risk och multiplicera sannolikheten med två, fyra eller åtta. Detta kan till exempel tillämpas i en riskbedömning kring huruvida en server med Windows Server 2003 (de finns faktiskt fortfarande kvar där ute) är utsatt för risk att angripas i en cyberattack. Om servern är placerad i ett DMZ med brandväggsöppningar in till den kan man tänka sig att utsattheten för risk är hög medan den är avgjort lägre om den står i ett helt internt nätverk och trafiken in till den regleras enligt en strikt modell uppbyggd på Zero Trust.
Det blir i modellen tydligt att även om vi betraktar sannolikheten som ”trolig”, det vill säga en trea, och konsekvensen för ett cyberangrepp som ”stor”, alltså även den en trea så blir den samlade riskvärderingen – och därmed beslutsunderlag för åtgärder – helt annorlunda beroende på utsatthet. Det ska med andra ord tydligt visa sig att en adekvat skyddsnivå ger en lägre risk.
Historiskt har detta hanterats genom att peka på obehandlad risk och jämföra den med kvarstående risk efter införande av skyddsåtgärder, men genom att ta med detta redan i grundanalysen kan man tydligt se var man redan är. Erfarenheten är att det är svårare att ta till sig konceptet ”obehandlad risk” i en riskanalys, särskilt om man redan från början infört adekvata skyddsåtgärder.
Mina matriser ovan är naturligtvis bara exempel. Just din organisation har kanske andra förutsättningar och preferenser, men använd gärna det tänket i arbetet med strategin. Det finns också god hjälp att få kring strategier för riskvärdering med erfarenheter från hur det tillämpas i olika situationer. Matrismodellen gör det enkelt att få en sammanställd riskvärdering med en visuell bild över hur allvarlig en risk kan anses vara.