Föga originellt anser jag att grundprincipen för informationssäkerhetsarbete är att det ska vara riskbaserat. Skälen till detta är många. Det starkaste är att det inte går att vidta rätt säkerhetsåtgärder om man inte vet vilka risker de avser att reducera. Utan kopplingen till risk blir säkerhetsarbetet ett självändamål vilket jag bedömer som en av de största riskerna (!) för ett effektivt säkerhetsarbete. Konsekvensen, vilket jag alltför ofta sett i praktiken, är att en organisation visserligen kan investera stora resurser i säkerhetsåtgärder men att investeringen inte alls ger en säkerhetshöjande effekt som motsvarar investeringen.
I ledningens styrning av informationssäkerheten i den egna organisationen måste riskägaren, d.v.s. ledningen, också ha den faktiska möjligheten bedöma vilka risker som är acceptabla respektive oacceptabla sett i relation till verksamhetsnyttan. Detta är grunden för ett fungerande ledningssystem.
Det finns också starka skäl till att styrningen av informationssäkerheten bör förflyttas så att tyngdpunkten ligger mer på risk än compliance. Compliance är per definition bakåtblickande – vi kan i huvudsak reglera det vi känner till – vilket inte är det mest ändamålsenliga i en starkt föränderlig situation (jag ska inte här gå in på att risk kan byggas in som ett element i en reglering utan förenklar starkt).
Organisationens övergripande riskanalys har också ett starkt samband med kontinuitets- och incidenthantering. Kontinuitetshantering innebär en prioritering av resurser, för att göra den prioriteringen måste det vara klart vilka konsekvenser som kan uppstå i verksamheten om olika delar av informationshanteringen inte fungerar. För att bedöma kunna bedöma olika incidenters grad av allvarlighet gäller samma sak, att en riskanalys är gjord som underlag för ledningens prioriteringar. Inträffade incidenter är också ett viktigt inflöde för riskhanteringen.
Vid sidan om de stora organisationsövergripande riskanalyserna består det dagliga arbetet för en informationssäkerhetsansvarig i inte oväsentlig omfattning att vara metodstöd för riskanalyser. Riskanalyser vid utveckling, upphandling, organisationsförändringar och ett antal andra tillfällen. Informationsklassning bör ses som en form av riskanalys och båda momenten kan med fördel göras samtidigt med samma normskala.
Trots riskhanteringens centrala betydelse finns det ett antal svårigheter när man vill leva som man lär och ha ett riskbaserat informationssäkerhetsarbete. Tyvärr är min erfarenhet att stödet från ISO 27005 inte ger den praktiskt arbetande särskilt mycket. Istället måste man hantera de organisatoriska förutsättningarna i den egna verksamheten, enkelt sagt men inte utan problem i praktiken. För att illustrera detta ska jag ta upp ett par exempel på förutsättningar för riskhanteringen ur informationssäkerhetssynpunkt som är svåra att hitta ett entydigt förhållningssätt till.
En första förutsättning är att informationssäkerhetsrisker bara är en typ av risker som organisationer måste hantera. De flesta organisationer är idag skyldiga att på ett systematiskt sätt analysera och hantera vissa typer av risker. I en myndighet där jag försökte få en överblick slutade jag när jag hittat nio formella krav på riskanalyser, allt från MSB:s krav på risk- och sårbarhetsanalyser till riskanalyser ur försäkringssynpunkt. Därtill kommer inte sällan kravet på att göra en säkerhetsanalys. Detta är inte unikt för myndighetsvärlden, många privata verksamheter är underställda formella krav men har också anslutit sig till branschregelverk där riskanalyser ingår. Riskanalyserna kan vara på organisationsövergripande nivå eller på delar av organisationen, gemensamt är dock att de saknar en gemensam metod för att genomföra analysen. Det kan vara komplexa kontrollsystem som COSO eller enklare metoder som ligger som grund för de analyser som ska göras. Den informationssäkerhetsansvariga har då alternativen att antingen försöka integrera bedömningen av risker relaterade till informationssäkerhet i befintliga analyser eller lägga ytterligare en analys till de övriga.
En annan aspekt är att ett fungerande säkerhetsarbete kräver riskanalyser på ett antal nivåer. Den mest begränsade riskanalys jag gjort var på en kartotekslåda med patientuppgifter för tjugo år sedan, den mest omfattande har rört nationella förhållande. I en organisation bör det finnas ett flöde så att risker på lägre nivåer aggregeras och tillsammans ger underlag för den övergripande riskbilden. De organisationer som lever efter ISO 27000 har sannolikt även beslutat att ledningen regelbundet ska få en rapportering av riskläget. Det finns även en nedåtrörelse där ledningens riskvärdering ska distribueras i organisationen och influera bedömningarna av risker på lägre nivå. För att det ska fungera på ett smidigt sätt är en gemensam metod en klar fördel.
Vi står alltså inför valet av horisontell eller vertikal integration; ska det finnas en gemensam metod för alla typer av riskhantering i organisationen? Eller är det enklare att försöka få till en fungerande metod för riskhantering ur informationssäkerhetssynpunkt som tillämpas på alla nivåer i organisationen? Svaret är inte givet utan måste bedömas efter noggrann analys i varje organisation.
När jag skrivit detta har jag bara skrapat tunt, tunt på ytan av allt det som finns att diskutera om riskhantering. Den som har metoder, erfarenheter eller synpunkter på ämnet får gärna höra av sig så sammanställer jag och förmedlar det här på bloggen. Inkommer ingenting finns det stor risk att jag återkommer och fortsätter att skriva om mina egna erfarenheter i frågan.