Enkelspåriga riskanalyser

För allt fler är äntligen informationssäkerhetspolicyn en realitet. För flera har det varit en lång resa och ett ständigt dåligt samvete. Slutligen kan aktiviteten bockas av och läggas till handlingarna.

Detta scenario stämmer väl överens med hur verkligheten ser ut för många. De allra flesta har också insett att detta inte är en engångsaktivitet utan en cyklisk process. Dock är det okänt för det stora flertalet att kvaliteten i de riskanalyser som görs ofta är undermålig och eftersom detta är den enskilt viktigaste källan till informationssäkerhetspolicyn så innebär det att även dessa kan vara behäftade med stora brister.

Ett problem är att riskanalysen alltför ofta fokuserar på ålderdomliga hotbilder. Det innebär inte att det är irrelevanta hotbilder, men det snabbt ökande antalet nya hot gör att gapet mellan verkligheten och vad riskanalysen omfattar är alltför stor. Ett annat problem är att de som genomför riskanalysen ofta är för långt från verksamheten och att sakkunskapen om internetrelaterade hot och nya hotbilder lyser med sin frånvaro. Det glöms ofta bort att riskanalysarbetet är en sökande och upptäckande process, inte en process där man väljer redan upptrampade stigar.

För något år sedan lamslogs ett helt socialkontor under närmare en vecka på grund av att en främmande dator anslutits till det interna nätverket och relativt omgående smittat ned samtliga handläggares datorer. Från ansvarigt håll gav man lugnande besked att man hade ringat in skadan och påpekade att kärnverksamheten inte var påverkad. Jag undrar om handläggarnas klienter hade samma uppfattning?

Denna hotbild har de allra flesta med i sin riskanalys nu för tiden. Förhoppningsvis har man också lärt sig att identifiera vad som egentligen är kärnverksamheten. Precis som med hotbilden så finns det mer att önska vad gäller identifieringen av vad som är skyddsvärt. För de allra flesta är det en övervikt mot att identifiera olika former av information som skyddsvärd. Även här måste man undvika att välja redan upptrampade stigar och tänka fritt.

Ett tydligt exempel där invanda avgränsningar gör att man missar hotbilder är e-post. Vem har med nätfiske och svartlistning i sin riskanalys? Två hot som kan bli ödesdigra för en verksamhet och där konsekvenserna kan bli allt från ekonomiska förluster till oönskad medieuppmärksamhet.

Oerhört mycket bra arbete har lagts på att strukturera riskanalysarbetet vilket givetvis har flera fördelar. Dessvärre har det strukturerade tillvägagångssättet en tendens till att kväva den kreativitet som trots allt är nyckeln till en lyckad riskanalys. Det går inte att negligera det faktum att en risk existerar även om man inte lyckats identifiera den.

© 2006 Thomas Nilsson, Certezza AB