Föreläsning 5 Flashcards
Varför finns riskhantering?
Dagens organisationer är extremt beroende av information och IT. Organisationer måste
därför kunna designa och skapa en trygg miljö för sina processer och funktioner. Detta gör
man bland annat för att:
● Minska störningar
● Minimera förluster
● Garantera informationens kvalitet
● Efterleva författningskrav och lagar
Känn till den egna organisationen (know yourself)
○ Vilka informationstillgångar finns? (system, information, nyckelpersoner mm)
○ Var finns de? Vem har tillgång till dem? Hur skyddade är de? Hur viktiga är
de? Vilka risker och hot utsätts de för?
○ Styrkor & svagheter
● Känn till tänkbara hot (know the enemy)
○ Förstå vilka hot organisationens tillgångar utsätts för
○ Prioritering enligt viktigheten av tillgångar som hotas
→ Riskhantering utförs av grupper av intressenter
● Personer från ledningen, IT-säkerhetsteam, användare, IT-avdelningen mfl
● Man jobbar tillsammans för att:
○ Evaluera motåtgärder
○ Bedöma kostnadseffektiviteten av åtgärder
○ Anskaffa och implementera motåtgärder
○ Övervaka effektiviteten av motåtgärder
● Riskhantering är en process för att konsekvent, likartat och aktivt bedöma och
motarbeta risker mot organisationens informationstillgångar
Vad ingår i riskhanteringsprocessen?
● Riskidentifiering (Risk identification) - Identifiera och kategorisera tillgångar,
klassificera risker
● Riskbedömning (Risk assessment) - Bedöma, mäta och värdera risker
● Behandling av risk (Risk control) - Vidta åtgärder för att reducera risker till en
acceptabel nivå
Vad innebär riskidentifiering?
Informationstillgångar måste identifieras och inventeras för att effektivt kunna skyddas.
Identifiera och inventera tillgångar exempel:
● Personer - Titel/id, förman, säkerhetsprövning, särskilt kunnande mm
● Instruktioner - Beskrivning, syfte, förhållande till tillgångar
● Data och information - Klassificering, ägare, värde, detaljer och struktur,
online/offline, lagringsplats/system, säkerhetskopieringsförfagande
● Programvara - Version, tillverkare, senaste versionen/uppdateringen, var installerat,
ägare
● Hårdvara - ID, typ, modellnummer, serienummer, version, IP-adress, ägare, plats
● Nätverk - Namn, SSID, skyddsåtgärder
● Immateriella tillgångar - Organisationens anseende
Vad innebär kategorisering och klassificering inom riskhantering?
Skillnad mellan kategorisering (vad är det?) och
klassificering (hur viktigt är det?)
● För att kunna bedöma risker och prioritera insatser, måste tillgångar prioriteras och
klassificeras
- Kategorisering
● Personer - interna eller externa, utökade eller vanliga befogenheter
● Instruktioner - känsliga eller inte
● Data och information - Inte bara data lagrade i databaser, utan också data i olika
överförings- eller behandlingstillstånd
● Mjukvara - Programvara, operativsystem, eller säkerhetskomponent
● Hårdvara - Del av säkerhetsarkitekturen eller vanlig hårdvara
Vad innebär konfidentiell information, intern information, offentlig information och säkerhetsprövning och åtkomsthantering?
● Konfidentiell information - Strikt begränsad tillgång, också internt (need to
know)
○ Kan orsaka stor skada ifall den kommer ut
● Intern information - Begränsad till internt bruk (ex instruktioner)
● Offentlig information - Information som inte är skadlig för organisationen
● Säkerhetsprövning och åtkomsthantering - Alla användare av information
måste ha en säkerhetsklassning som avgör vilken tillgång de har till olika
klasser av information
○ Grundprincipen: Endast ha tillgång till den informationen som krävs
för att utföra sitt jobb
Vad innebär värdering av informationstillgångar?
● Estimera värde på basis av kostnader
○ Kostnaden för att skapa en informationstillgång
○ Sammanlagd kostnad för underhåll av en tillgång genom tiderna
○ Kostnaderna för att skydda en tillgång
○ Kostnaderna för att ersätta en tillgång
● Problem
○ Vad är varumärket/ryktet värt?
○ Vad är personlig information värd? För dig? För företaget?
○ Vad skulle konkurrenter vara villiga att betala för att få tillgång till
organisationens informationstillgångar?
Vad innebär identifiering och prioritering av hot?
● Syftet är att identifiera de hot som verksamhetens informationstillgångar är utsatta för
● Det finns stora mängder potentiella hot:
○ Prioritera sannolika hot, nedprioritera osannolika
● Sannolikhet, omfattning av potentiell skada, frekvens - alla viktiga att ha i åtanke
○ Inledande bedömningar oftast kvalitativa (t ex skala 0-4)
● Kostnad för skydd större än möjliga konsekvenser?
Vad är identifiering av sårbarheter?
● När tillgångars värde och tänkbara hot är identifierade/kända måste sårbarheter
identifieras. Sårbarheter = kanaler genom vilka organisationens
informationstillgångar kan angripas
○ Ej uppdaterad mjukvara, dåliga konfigurationer, mjuk- eller hårdvarudefekter,
otillräcklig skolning hos personal mm
● Risk finns där hot möter sårbarheter
● Oftast bäst att göra i grupp med varierande bakgrund
Vad är en riskbedömning?
Riskbedömning sker utgående från informationstillgångars värde, tänkbara hot, och
sårbarheter. Syftet är att fastställa en relativ risk för organisationens informationstillgångar
(relativ, dvs så att den är acceptabel). En systematisk (organiserad) och likvärdig process
ger konsekventa och jämförbara resultat.
Vilka fem strategier finns för varje identifierad risk?
● Förebyggande (defense) - Försök förminska risk genom att förhindra utnyttjandet av
sårbarheter. Verktyg för detta: policies, skolning/utbildning, teknisk arkitektur
● Överföring av risk (transfer) - Överföra risken på andra tillgångar, processer, eller
organisationer. Ex outsourcing till specialister
● Skadereducerande (Mitigation) - Minska effekten av framgångsrik attack. Detta
genom incidenthantering, krishantering, kontinuitetshantering.
● Acceptans (Accepance) - Acceptera risken, endast om tillgångens värde
understiger kostnaden för att skydda
● Undvikande (Termination) - Undvika aktiviteter som innebär okontrollerbara risker
