Å vite at trusler finnes er bra, men det hjelper lite hvis du ikke vet hvilke trusler som er mest relevante for ditt system. En risikoanalyse hjelper deg med å prioritere: hva skal du beskytte, hva kan gå galt, og hva bør du gjøre med det?
Hva er en risikoanalyse?
En risikoanalyse er en systematisk gjennomgang der du:
- Finner ut hva som kan gå galt
- Vurderer hvor sannsynlig det er
- Vurderer hvor alvorlig konsekvensen er
- Foreslår tiltak for å redusere risikoen
Du trenger ikke være sikkerhetsekspert for å gjøre dette. Det handler om å tenke systematisk.
Steg for steg
1. Verdivurdering: Hva har vi?
Før du kan beskytte noe, må du vite hva du har. List opp de viktigste verdiene i systemet:
| Verdi | Eksempel | Hvorfor viktig? |
|---|---|---|
| Data | Brukerdata, prosjektfiler | Kan ikke gjenskapes |
| Tjenester | Webserver, e-post, fillagring | Folk er avhengige av dem |
| Maskinvare | Servere, nettverksutstyr | Koster penger og tid å erstatte |
| Omdømme | Tilliten brukerne har til systemet | Vanskelig å gjenoppbygge |
2. Risikoidentifisering: Hva kan gå galt?
Tenk gjennom hva som kan true verdiene dine:
| Risiko | Beskrivelse |
|---|---|
| Ransomware | Filer krypteres og krever løsepenger |
| Strømbrudd | Servere og nettverk går ned |
| Diskfeil | Data går tapt |
| Phishing | Noen gir fra seg passord |
| Feilkonfigurasjon | En endring som tar ned en tjeneste |
| Naturhendelse | Brann, vannskade, tordenvær |
3. Vurder sannsynlighet og konsekvens
For hver risiko vurderer du to ting på en skala (f.eks. 1-5):
- Sannsynlighet: Hvor sannsynlig er det at dette skjer?
- Konsekvens: Hvor alvorlig er det hvis det skjer?
Risikoverdi = Sannsynlighet × Konsekvens
| Risiko | Sannsynlighet (1-5) | Konsekvens (1-5) | Risikoverdi |
|---|---|---|---|
| Diskfeil | 3 | 4 | 12 |
| Ransomware | 2 | 5 | 10 |
| Phishing | 4 | 3 | 12 |
| Strømbrudd | 2 | 3 | 6 |
| Feilkonfigurasjon | 3 | 3 | 9 |
Jo høyere risikoverdi, jo mer prioritet bør du gi tiltakene.
Risikomatrise
En risikomatrise viser dette visuelt med farger:
- 🟢 Lav (1-6): Akseptabel risiko, men hold øye med den
- 🟡 Middels (7-14): Bør ha tiltak på plass
- 🔴 Høy (15-25): Krever umiddelbare tiltak
4. Foreslå tiltak
For hver risiko med høy eller middels verdi, foreslår du tiltak:
| Risiko | Tiltak |
|---|---|
| Diskfeil | Backup (3-2-1-regelen), RAID på servere |
| Ransomware | Oppdateringer, offline backup, opplæring |
| Phishing | Bevisstgjøring, MFA, e-postfiltrering |
| Feilkonfigurasjon | Dokumentasjon, endringslogg, snapshot før endring |
5. Dokumenter og følg opp
Risikoanalysen er ikke en engangsøvelse. Skriv den ned, del den med teamet, og gjennomgå den jevnlig (f.eks. hvert halvår eller etter en hendelse).
Oppgave 1 - Gjennomfør en mini-risikoanalyse
Velg et system du kjenner (f.eks. din egen PC, en VM du har satt opp, eller skolens nettverk) og kjør gjennom stegene:
- List opp 3-5 verdier (hva er viktig?)
- Finn 3-5 risikoer (hva kan gå galt?)
- Gi hvert punkt en sannsynlighet og konsekvens (1-5)
- Foreslå tiltak for de med høyest risikoverdi
Bruk et regneark eller en enkel tabell i Markdown.
Oppsummering
- En risikoanalyse hjelper deg med å prioritere sikkerhetstiltak
- Stegene er: verdivurdering, risikoidentifisering, vurdering av sannsynlighet/konsekvens, tiltak og dokumentasjon
- Risikoverdi = sannsynlighet × konsekvens
- Risikoanalyse er ikke en engangsøvelse, den bør oppdateres jevnlig
Du kan laste ned en mal for risikovurdering hos Datatilsynet.