Ransomware og risikostyring

Risikostyring er et effektivt værktøj til at nedsætte risikoen for ransomware angreb og anden cyber kriminalitet. Det kan anvendes af alle typer virksomheder og er ikke kun forbeholdt ledelsen.

Millioninvesteringer i it sikkerhed

Virksomheder investerer i øjeblikket millioner af kroner i it sikkerhed. Ofte går de fleste af pengene til sikkerhedssystemer i form af firewalls, SIEM systemer og anti malware software. Det er jo it afdelingen, der står for sikkerheden, og deres medicin er næsten altid nyt hardware og software.
Men hvad nu hvis de farligste trusler kommer fra en helt anden kant?  Det kan f.eks. være medarbejdere der udleverer fortrolige informationer, installerer ransomware fra en mail eller noget helt tredje. Så er de nye og dyre systemer nærmest sat skat mat. Og investeringsstrategien fejlslagen.

It-systemet er som en borg

Tænk på it systemet som en borg og dig selv som borgherre. Du ved at fjenden snart vil angribe. Hvad vil du gøre? - straks grave voldgraven dybere og forstærke porten - eller kigge hele borgen igennem og vurdere hvor der er størst chance for at fjenden kan trænge ind?

Hvis du vælger den sidste løsning har du allerede en ide om hvad risikostyring handler om.

Det handler om at forudse trusler

Risikostyring handler om forudse trusler – og tage stilling til hvad der skal ske når de opstår. Det lyder måske indviklet og noget som kun store virksomheder, banker og forsikringsselskaber kan have gavn af.

Men faktisk kan alle virksomheder, store som små, få glæde af at anvende risikostyring inden for it sikkerhed. Det er nemlig et effektivt værktøj til at finde, analyse og behandle trusler - og ikke mindst hjælpe ledelsen med at vurdere hvad der er "need to have" og "nice to have" når der skal investeres i it sikkerhed.

Vi har alle indbygget risikostyring

Som menneske har vi en indbygget risikostyring. Vi tænker blot ikke over det. Vi laver risikostyring inden vi går over gaden, før vi overhaler en forankørende bil eller inden vi tager et varmt fad ud af ovnen – alt sammen situationer hvor hjernen laver en beregning før man udfører handlingen. Vores indbyggede risikostyring skal forhindre at vi kommer til skade.  

Risikostyring for it systemer

Risikostyring for it systemer fungerer på nøjagtigt samme måde. Vi identificerer en risiko, vi bruger vores erfaring til at vurdere om den kan påvirke vores system og vi vælger om vi vil acceptere risikoen eller ej. Hvis vi ikke accepterer risikoen behandler vi den og beslutter hvordan den kan fjernes eller inddæmmes.

Ikke kun for ledelsen

Risikostyring er ikke kun forbeholdt ledelsen. Hvis medarbejderne lærer at lave en simpel risikovurdering - inden de deler data, klikker på links i mails, kobler på usikre trådløse netværk osv. - kan de være med til at beskytte it systemerne.

Risikostyringen består af 3 ”dele”:

Risikovurderingen:
Vi finder (identificerer) og vurderer om en handling eller en trussel, kan kompromittere drifts- eller informationssikkerheden. Det kan f.eks. være i forbindelse med Phishing mails, brug af (inficerede) USB keys, risici ved fjernopkobling af computere og meget andet.

Risikoanalysen:
Vi analyserer risikoen, og konsekvenserne, ved en handling. Er der fare for at systemet går ned? kan vi risikere at miste data? bliver alle filer krypteret? osv.

Risikobehandling:
Vi accepterer eller fjerner risikoen. Det kan f.eks. være ved at installere ny sikkerhedssoftware, lave bedre kontroller med systemerne eller stille regler op for medarbejderne med en it sikkerhedspolitik.

Et par eksempler:

1.
Risikovurdering -  stor risiko for ransomware angreb
Risikoanalyse - det er farligt og kan kryptere alle vores filer
Risikobehandling - vi har spamfilter, backup og trænet medarbejderne

2.
Risikovurdering - stor risiko for af vores fjernadgang bliver hacket
Risikoanalyse - hvis en hacker trænger ind i systemet er det livsfarligt
Risikobehandling - vi skal investere i 2 trins bekræftelse til vores system

Sådan kommer du i gang

Risikostyringen behøver ikke at være mere end et Excel regneark og et fast punkt på møderne med it afdelingen. Her kan i gennemgå og evaluere nye trusler og tage stilling til hvordan de skal behandles. Og det bedste er, at selv it ukyndige personer kan være med - det handler jo om at bruge sin sunde fornuft og sin indbyggede risikostyring.

Hent vores gratis regneark til risikostyring her:
https://s3-eu-west-1.amazonaws.com/halftone-div/Risikovurdering+og+risikoanalyse.xlsx