Sommeren er tiden for å roe ned. Vi avslutter et halvår med arbeid, for å kunne legge bena høyt og ta noen ukers velfortjent pause. Jobben blir lagt til side for de fleste, og få ansatte er til stede under ferieavviklingen for å sikre vedlikehold og opprettholdelse av kritiske funksjoner i sommermånedene. Men hvordan vet du at din virksomhet er trygg nok, slik at du kan ta sommerferie med hvilepuls?
Noe av det viktigste du som leder kan gjøre, er å vite hvilke trusler og sårbarheter din virksomhet står overfor, og at du har gjort tiltak for å redusere disse på en god måte. Disse kan være tekniske, prosessuelle, menneskelige, eller en kombinasjon av flere. Et nyttig tiltak i sikkerhetsarbeidet er å gjennomføre en risiko- og sårbarhetsanalyse (ROS) for å identifisere, vurdere og håndtere potensielle risikoer.
En samtalestarter om sikkerhet
En ROS-analyse kan gjennomføres i fire steg; identifisere trusler, vurdere sårbarheter, gjennomføre risikovurdering og utarbeide tiltak. På denne måten får du bedre innsikt i hvilke risikoer og sårbarheter som kan påvirke virksomheten din, prosjekter og/eller systemer negativt, og hvilke tiltak du kan implementere for å redusere eller mitigere risiko. Underveis i prosessen stiller man seg gjerne spørsmål rundt verdier, prioritering, eierskap, prosesser, policy og personvern.
Når ROS-analysen er gjennomført, overføres arbeidet til den daglige driften. Det må jobbes kontinuerlig med analysen og dens funn gjennom året, og man kan komme tilbake til den for å revidere risikoer og sårbarheter ved behov. I tillegg kan det være nyttig å overvåke miljøer og føre logg over endringer, da dette endrer hvilke trusler og sårbarheter som er aktuelle for din virksomhet. Videre fungerer analysen også som en samtalestarter om sikkerhet i organisasjonen. Så fort bevisstheten er etablert, og samtalen har startet, vil det være lettere å utvide sikkerhetsarbeidet og skape engasjement rundt tematikken. Dette er i tråd med NSMs anbefalinger om å adressere den menneskelige faktoren i sikkerhetsarbeidet.
Bedre dialog rundt sikkerhet er bare en av flere fordeler med analysearbeidet. Videre fører en ROS-analyse til økt bevissthet rundt hvilke risikoer man har i virksomheten, samt bedre oversikt og kontroll over dem. Ved å utarbeide en analyse får man felles innsikt i risikobildet, hvem som eier risikoene og hvordan tiltak skal utføres. Ofte vil man benytte anledningen til å diskutere eierskap og plan for mitigering. Ved å ha en felles oversikt, blir det lettere å prioritere hvilke tiltak det haster mest med. Ikke minst gir en ROS-analyse muligheten til å eliminere risikoer underveis, spesielt de som det er lett å gjøre noe med.
Tungt å komme i gang? Vi hjelper deg!
Oppsummert er en ROS-analyse en god start på veien til å bli en sikrere virksomhet, og du kan være ett skritt nærmere en sommerferie med hvilepuls. I løpet av de siste årene har vi hjulpet flere av våre kunder med dette arbeidet, og vi i CGI hjelper gjerne deg også. Så ta kontakt for en uforpliktende prat!
Vil du vite mer?
Ta kontakt med:
Ina Marie Solem
inamarie.solem@cgi.com
+47 952 02 703
About this author
Ina Marie Solem
Security Consultant, GTO
Ina Marie Solem is the lead for GTO Norway Clients' Cyber Security team, and has experience with audit preparations, Business Continuity Management, SOC, and risk and vulnerability assessments.