Risikoanalyse

Hvorfor skal en virksomhed have udarbejdet en it-risikoanalyse?

 It-strategi og it-sikkerhedspolitik er vigtige redskaber til fastsættelse af rammerne for it-anvendelsen i virksomheden. Fastlæggelse af niveauet for sikkerhed bør tage udgangspunkt i en risikoanalyse, der anskueliggør virksomhedens sårbarhed på it-området. Dette sikrer en målrettet indsats på de områder af it-anvendelsen, hvor virksomheden er mest sårbar. Samtidig sikrer det en bevidsthed om sårbarheden og medvirker til, at der ikke er risikoområder, som er under- eller overbeskyttet.

Hvordan kan Grant Thornton hjælpe?

IT-Revision & Risikostyring har udarbejdet en model til brug for analyse af risici ved it-anvendelsen. Modellen er udarbejdet med udgangspunkt i standarden ”National Insitute of Standards and Technology - Special Publication 800-30 Risk Management Guide for Information Technology Systems”.

Vi kan på baggrund af vores kendskab til klienten og dennes virksomhed samt erfaringer fra tilsvarende virksomheder medvirke til at udarbejde en risikoanalyse med udgangspunkt i nævnte model. Endvidere kan vi give anbefalinger til foranstaltninger på områder, der ikke er beskyttet godt nok, således at risikoen kan mindskes. Det er blandt andet denne model, der er anvendt til at fastlægge Grant Thorntons it-risikoprofil.

Metoden

Virksomhedens risikobillede findes ved at gennemgå en række hændelser, der er tilpasset virksomhedens art og karakter. Fremgangsmåden er følgende:

1. Vurdering af konsekvenser for virksomheden, hvis hændelsen indtræder
2. Vurdering af virksomhedens sårbarhed, hvis en hændelse indtræder med udgangspunkt i de allerede etablerede kontroller
3. Vurdering af sandsynligheden for at hændelsen indtræder

Ved at sammenvægte disse tre forhold fremkommer virksomhedens restrisiko, som er den risiko, virksomhedens ledelse skal tage stilling til. Er risikoen acceptabel, eller skal der etableres yderligere foranstaltninger for at reducere risikoen? En sammenvægtning af ovenstående to første punkter beskriver risikoen for virksomheden, når skaden er sket.

Resultatet

Til brug for gennemgangen af risikoanalysen, har vi, som tidligere beskrevet, opbygget en model, der samler vurderinger og resultater i et skema. Ved at klikke på billedet vises et lille eksempel på risikoanalysen.

Klik på billede for stor størrelse.

(F = Fortrolighed; P = Pålidelighed; T = Tilgængelighed)

Med udgangspunkt i risikoanalysen, er det muligt at opbygge en målrettet it-sikkerhedspolitik til fastlæggelse af sikkerheden omkring it-anvendelsen i virksomheden, således at ledelse, it-afdeling og øvrige medarbejdere har klare rammer for sikkerhed og en bevisthed om virksomhedens risikoprofil.

Hvordan kommer jeg videre?

Hvis et it-likvideftersyn er relevant for jer, eller hvis I vil vide mere om it-likvideftersynet, så kontakt venligst Grant Thornton s afdeling for IT-Revision & Risikostyring.

Ønskes vores informationsskrivelse om riskoanalyse kan den hentes her:

 Risikoanalyse