Dette er ein maskinomsett tekst som kann innehalda feil!
Å vita at trugsmål finst er godt, men det hjelper lite um du ikkje veit kva trugsmål som er mest relevante for di system. Ein risikoanalyse hjelper deg med å prioritera: kva skal du vernja, kva kan gå gale, og kva bør du gjera med det?
Kva er ein risikovurdering?
Ein risikovurdering er ein systematisk gjennomgang der du:
- Finn ut kva som kann gå gale
- Vurderer kor sannsynleg det er
- Vurderer kor alvorleg konsekvensen er
- Føreslår tiltak for å redusera risikoen
Du treng ikkje vera tryggleiksekspert for å gjera dette. Det handlar om å tenkja systematisk.
Steg for steg
1. Verdivurdering: Kva hev me?
Før du kann vernja noko, må du vita kva du hev. List upp dei viktigaste verdiene i systemet:
| Verdi | Døme | Kvifor viktig? |
|---|---|---|
| Data | Brukar-data, prosjekt-filer | Kann ikkje gjenskapast |
| Tenester | Web-tenar, e-post, fil-lagring | Folk er avhengige av dei |
| Maskinvare | Tenarar, nettverks-utstyr | Kostar pengar og tid å erstatta |
| Omdøme | Tilliten brukarane hev til systemet | Vanskelig å gjenoppbygga |
2. Risikoidentifisering: Kva kann gå gal?
Tenk gjennom kva som kann truga verdiene dine:
| Risiko | Skildring |
|---|---|
| Ransomware | Filer vert krypterte og krev løsepengar |
| Straumutfall | Serverar og nettverk fell ned |
| Diskfeil | Data vert tapte |
| Phishing | Nokon gjev frå seg passord |
| Feilkonfigurering | Ei endring som tek ned ei teneste |
| Naturhending | Brann, vasskade, tordenvær |
3. Vurder Sannsynleiken og Konsekvensen
For kvar risiko vurderer du to ting på ei skala (t.d. 1-5):
- Sannsynleiken: Kor sannsynleg er det at dette hender?
- Konsekvensen: Kor alvorleg er det viss det hender?
Risikoverdi = Sannsynleiken × Konsekvensen
| Risiko | Sannsynleiken (1-5) | Konsekvensen (1-5) | Risikoverdi |
|---|---|---|---|
| Diskfeil | 3 | 4 | 12 |
| Ransomware | 2 | 5 | 10 |
| Phishing | 4 | 3 | 12 |
| Straumutfall | 2 | 3 | 6 |
| Feilkonfigurering | 3 | 3 | 9 |
Jo høgare risikoverdi, jo meir prioritering bør du gjeva tiltaka.
Risikomatrise
Ei risikomatrise syner dette visuelt med fargar:
- 🟢 Låg (1-6): Akseptabel risiko, men hald auga med han
- 🟡 Middels (7-14): Bør ha tiltak på plass
- 🔴 Høg (15-25): Krev umiddelbare tiltak
4. Framlegg til tiltak
For kvar risiko med høg eller middels verdi, framlegg du tiltak:
| Risiko | Tiltak |
|---|---|
| Diskfeil | Backup (3-2-1-regelen), RAID på tenarar |
| Ransomware | Oppdateringar, offline backup, opplæring |
| Phishing | Bevisstgjering, MFA, e-postfiltrering |
| Feilkonfigurering | Dokumentasjon, endringslogg, snapshot før endring |
5. Dokumenter og følg upp
Risikoanalysen er ikkje ei eingongsøving. Skriv ho ned, del henne med laget, og gjennomgå henne jamt (t.d. kvart halvår eller etter ei hending).
Oppgåve 1 – Gjennomfør ei mini-risikoanalyse
Vel eit system du kjenner (t.d. di eiga datamaskin, ein VM du har sett opp, eller skulen sitt nettverk) og gå gjennom stega:
- List opp 3-5 verdiar (kva er viktig?)
- Finn 3-5 risikoar (kva kan gå gale?)
- Gjev kvart punkt ei sannsynlighet og konsekvens (1-5)
- Foreslå tiltak for dei med høgast risikoverdi
Bruk eit rekneark eller ei enkel tabell i Markdown.
Oppsummering
- Ein risikoanalyse hjelper deg med å prioritera tryggingstiltak
- Stega er: verdsetjing, risikoundersøking, vurdering av sannsyn/konsekvens, tiltak og dokumentasjon
- Risikoverdi = sannsynlighet × konsekvens
- Risikoanalyse er ikkje ei eingongsøving, ho bør uppdaterast jamt.
Du kan lasta ned ei mal for risikovurdering hjå Datatilsynet.