Simovits

Reflektioner kring riskbedömningar

Denna bloggtext handlar om några personliga reflektioner kring riskhantering för att styra säkerhetsarbetet inom en organisation. Ett par aspekter som kommer att tas upp avser

Vad kännetecknar riskbedömningar?

Riskbedömningar görs i olika syften och på olika nivåer. Uttalade syften kan vara att hjälpa en organisation att säkra sin överlevnad, att styra åtgärder till de områden de gör störst nytta, att påvisa regelefterlevnad både internt och externt och för att uppfylla olika former av externa krav. Även försäkringsbolag, investerare och revisorer inklusive internrevisorer gör riskbedömningar av jämförbara anledningar.

Omfattningen kan variera från att omfatta hela organisationen till bara utvalda delar. Exempel på olika nivåer kan vara ERM (Enterprise Risk Management) som kan omfatta finansiella och strategiska risker, ESRM som bara omfattar säkerhetsrelaterade risker och IRM som på motsvarande sätt omfattar informationsrelaterade risker. Angränsande områden kan vara leverantörskedjor och molntjänster där organisationen påverkas av utomstående risker som behöver bedömas och hanteras. Mellan olika områden kan det finnas ett betydande överlapp.

Riskbedömningar kan i många fall jämföras med utredningar som kan ha olika syften och mottagare. Om en myndighet tex kräver en riskbedömning för miljöfarlig verksamhet så behöver denna hållas ren från ovidkommande risker och samtidigt uppfylla alla krav på integritet, riktighet och relevans.

Även om nästan alla riskbedömningar använder en gemensam metodik så kan omfattning och ambitionsnivå skilja i en betydande omfattning. Detta beror i första hand på riskbedömningens syfte och mottagare.

Vad lär man sig avseende riskhantering i de olika säkerhetscertifieringar som finns?

Generella säkerhetscertifieringar som CISM, CISSP eller CPP tar upp flera olika kunskapsområden, men omfattningen inom varje område blir i motsvarande grad mindre. Detta innebär normalt att en person med en generell certifiering förväntas kunna delta praktiskt i riskhanteringsarbete, men ofta behöver lära sig lite mer för att själv kunna administrera ett sådant arbete samt känna till övriga delar av arbetet. Till detta kommer ofta krav på certifiering eller motsvarande för specifika ramverk eller standarder som kan tillämpas.

En generell certifiering lär också ofta ut grunderna i projektriskhantering och riskhantering i programutveckling, men även här krävs normalt mer kunskap eller erfarenhet.

Normalt ingår heller inte finansiell riskhantering i någon större omfattning även om det är ett relativt nära besläktat område.

Ofta kan man behöva en certifiering (eller kurs) i enbart riskhantering för att behärska de administrativa processerna kring riskhantering, för att kunna underhålla en förteckning över risker och helt förstå de olika delprocesserna i riskhanteringen.

Hur förhåller sig dessa certifieringar till de standarder och ramverk som finns?

De flesta certifieringar tar enbart upp generell kunskap eller sådan kunskap som tillhör den certifierande organisationen. Exempelvis en certifiering från ISACA ställer normalt inga frågor kring utomstående standarder eller ramverk. För en internationellt gångbar certifiering är detta en praktisk förutsättning för att certifieringen inte ska bli gynna en viss standard eller en viss typ av organisation. Även om utbildningsmaterial från olika källor ofta innehåller nyttig information om andra standarder så är detta ofta inte med på provet vilket gör att den som certifierar sig läser dessa avsnitt mer kursivt.

Samtidigt har certifierande organisationen ofta egna standarder och ramverk som utgör en del av certifieringen.

Detta kan också ses som något man behöver lära sig på annat sätt beroende på hur den egna organisationen tillämpar externa standarder eller ramverk.

Vilka utövar intern eller extern tillsyn över riskhantering?

Det är viktigt för en riskanalytiker att känna till vilka roller som hanterar risker inom en organisation. Normalt talar man om tre nivåer, nämligen

Riskhantering bygger normalt på ett samspel mellan dessa tre nivåer, men det förekommer stora variationer. Ibland är det svårt att hitta verksamhetsföreträdare som vill åta sig roller som riskägare, exempelvis att förklara sig beredd att acceptera en risk eller att kräva riskreducerande åtgärder. Ibland kan det vara lika svårt att hitta en intern revisor som är villig att bedöma risker och riskreducerande åtgärder. Ibland kan man vara tvungen att föra en dialog inom organisationen för att hitta dessa roller eller någon form av ersättning.

Företagsledning och styrelse har även ett ansvar som nivåsättare av vilka risker organisationen är beredd att acceptera och för att hålla sig informerade om risker på en övergripande nivå. Externa parter kan även ha ett intresse att det finns en fungerande riskhantering inom organisationen och myndigheter kan för reglerade verksamheter även ställa krav på vad riskhanteringen ska omfatta.

Ofta finns det därför ett behov av en riskpolicy eller annat styrdokument som förklarar hur riskhanteringen ska bedrivas eller alternativt för vissa organisationer hur säkerhetsstyrningen ska fungera.

Vad ska ingå i olika riskrapporter och vad ska utelämnas?

Alla riskrapporter riskerar att bli spretiga dokument och alla beslutsfattare har inte alltid samma förmåga som en riskanalytiker att läsa dokument som tar upp många risker och åtgärder som måste vägas mot varandra. En riskrapport har därför ofta ett tydligt och begränsat fokus vare sig det gäller

Om man ska framställa en riskanalys för att påvisa regelefterlevnad kan det vara riskabelt att ta med risker som ligger utanför det aktuella regelverket eller kravställningen eller att diskutera för och emot gällande andra risker som bedöms som omhändertagna inom den egna organisationen. Om man trots allt måste ta upp en risk som inte kunnat hanteras så får man i stället bara ange hur den är tänkt att hanteras och när detta ska ske.

Givetvis finns det en poäng i att samla in så mycket information som möjligt, att internt sammanfatta olika bedömningar och att genomgående göra neutrala och objektiva bedömningar. Men i respektive dokument bör innehållet ändå styras mot de för stunden aktuella frågeställningarna.

Vad som ska prioriteras i respektive dokument bör hanteras inom den egna riskorganisationen eller av den chef som har motsvarande ansvar. Exempelvis gör man först en övergripande bedömning och prioritering av olika risker och åtgärdsförslag. Därefter gör man en detaljerad genomgång av varje åtgärdsförslag för sig. På så sätt kan man undvika att varje beslut omfattar mer än ett par delfrågor. Om för många frågor tas upp på en gång riskerar man annars lätt en låsning i beslutsprocessen.

Hur tillämpas riskhantering inom en organisation som redan har en säkerhetsstyrning?

En organisation som omfattas av säkerhetsskyddslagen har redan en säkerhetsstyrning. Det framgår av lagstiftningen vilken information som ska placeras i säkerhetsskyddsklass, hur säkerhetsklassning av befattningar ska ske och det är reglerat genom myndighetsföreskrifter och interna regelverk hur skyddet ska vara utformat. Många åtgärder som skulle kunna bli ett resultat av en riskanalys finns därmed redan på plats.

Detta medför också att det inte finns ett naturligt utrymme för att använda exempelvis ISO 27001 för att utforma samma säkerhetsstyrning. I stället finns krav på säkerhetsskyddsanalyser för själva verksamheten och säkerhetsskyddsbedömningar för olika system. I mångt och mycket kan man säga att dessa dokument liknar ISO27001 eftersom den egna verksamheten ska kartläggas liksom den information som hanteras och någon form av riskanalys ska göras.

Men i slutändan bör krav på säkerhetsfunktioner, krav på systemen och de åtgärder som vidtagits också kunna stämmas av  mot den egna riskhanteringen. I annat fall riskerar man också att gå miste om de fördelar som riskhantering kan ge, exempelvis uppskattning av förändrade risker med hjälp av för verksamheten utvalda riskindikatorer.

Hur godkänns ett system utifrån omhändertagna risker eller uppfyllda krav?

En utgångspunkt kan vara att nya system ska godkännas då de uppfyller de krav som ställdes då systemet beställdes och de generella säkerhetskrav som organisationen nu ställer. Förenklat kan man säga att vissa krav ska vara uppfyllda oavsett vad riskhanteringsprocessen leder till för resultat.

Den möjlighet man ofta har är att visa att risken är låg (eller att man är beredd att ta risken på grund av nyttan för organisationen) eller att visa på en åtgärd som vidtagits för att risken ska bli låg och därigenom visa att systemet eller dess omgivning på så sätt uppfyller kravet.

Riskanalysen blir då snarare ett sätt att påvisa att systemet saknar risker som inte omhändertagits, men inte ett direkt sätt att få systemet godkänt. En ny risk som måste omhändertas modifieras då enklast till ett ändrat krav på systemet (eller dess omgivning) som gör att den befintliga kravlistan kan användas för att fortsatt godkänna systemet.

Riskanalysen behöver dock kunna påvisa att alla relevanta risker har beaktats och tagits hand, då exempelvis risker förknippade med olika antagonistiska hot, olika hotaktörer och hot mot olika funktioner inom systemet.

En praktisk aspekt är att när ett krav behöver mildras, exempelvis för att kravet är omhändertaget på annat sätt eller att risken är låg, så behövs det ändå en kompletterande riskanalys för att visa att så är fallet.

Hur hanteras skillnader i bedömning?

Uppdrag som utförs i form av en granskning, en utredning eller en revision bygger normalt på att utföraren levererar en självständig bedömning och förväntas framföra sin egen uppfattning. Detta innebär givetvis inte att uppdragsgivaren är bunden av resultatet utan kan senare genomföra de åtgärder som denne finner befogade.

Uppdrag som utförs avseende riskhantering är normalt mer sammanvävda med uppdragsgivarens beslut eftersom det är denne som värderar varje risk och beslutar om varje åtgärd. Om riskanalytikern och uppdragsgivaren i form av riskägare inte är överens så gäller riskägarens beslut och riskanalytikern kan egentligen bara notera vilka riskfaktorer som bedömts och hur besluten motiverades. Därutöver kan egentligen riskanalytikern bara hjälpa till att utbilda riskägarna i riskhantering och i någon mån samråda med andra led inom riskhanteringen, exempelvis internrevision som kan ha i uppgift att värdera effektiviteten i de åtgärder som vidtas.

Eftersom personer tenderar att bedöma risker olika så är det också ofta värdefullt att kunna visa hur stor spridningen var mellan olika uppfattningar och vilka aspekter som påverkade bedömningen. Annars blir det också svårt att förklara förändringar i risk när riskhanteringen görs återkommande.

Referenser

1. The Importance Of Risk Management In An Organizations

https://www.ijstr.org/final-print/nov2018/The-Importance-Of-Risk-Management-In-An-Organizations.pdf

En grundläggande översikt över riskhantering, olika typer av risker och hur de kan hanteras.

2. Learning from Risk Management Mistakes

https://erm.ncsu.edu/library/article/learning-from-risk-management-mistakes

Denna artikel identifierar några vanliga svagheter kring styrningen av en organisations riskhantering från styrelse och nedåt.

3. Risk Management Failures: What Are They and When Do They Happen?

https://files.fisher.osu.edu/department-finance/public/2008-18.pdf

Denna artikel är fokuserad kring finansiella risker och hur de hanterats. Det avsnitt som handlar om risk management failures är dock så generellt att det täcker alla typer av riskhantering.

4. Business Risk Management in Government: Pitfalls and Possibilities

https://www.researchgate.net/publication/228216337_Business_Risk_Management_in_Government_Pitfalls_and_Possibilities

Denna artikel tar upp risker när man försöker anpassa en företagsanpassad riskhantering till myndighet.

5. Critical Success Factors for effective risk management procedures in financial industries

http://www.diva-portal.org/smash/get/diva2:233985/fulltext01.pdf

Även denna artikel fokuserar på finansiella risker, men är samtidigt relativt allmängiltig.