Risiko for bedrift

OppOgFram er en norsk, mellomstor virksomhet med to avdelinger, en i Bergen og en i Stavanger. Virksomheten er underleverandør for en større virksomhet, TraustOgStabil. TraustOgStabil krever at alle underleverandører skal ha god sikkerhet, og som et ledd i dette skal de ha gjennomført en risikovurdering.

Innhold

Trusler

Akseptabel risiko

Konsekvenser

Risikovurdering

Trusler

Eksempler på trusler den IKT ansvarlige kan se for seg er:

Konkurrenter får tilgang til strategier, anbudsinformasjon og forretningshemmeligheter.
Ustyr blir stjålet, og noe informasjon går tapt.
Flere PC-er blir angrepet av virus, og flere ansatte blir dermed hindret i arbeidet.

En vurdering av trusselen Konkurrenter får tilgang til informasjon er påbegynt.

Akseptabel risiko

OppogFram har ikke gjort dette tidligere og startet med tre nivåer for konsekvens, sannsynlighet og risiko. Ledelsen har vurdert hva de mener er akseptabel risiko.

Med stor risiko menes hendelser som skjer mer en to ganger i uken, gir tap på over 100.000 kr eller betydelig tap av renommé. Rød farge er brukt, og er ikke akseptabelt.
Med moderat risiko menes hendelser som skjer mer enn to ganger i måneden, gir tap på over 50.000 kr eller tap av renommé. Oransje farge brukes, og må ha oppmerksomhet.
Med lav risiko menes hendelser som skjer mer enn to ganger i halvåret, medfører tap på over 10.000 kroner eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres.

		Sansynlighet
		Sjelden	Kan skje	Svært vanlig
Konsekvens	Liten	*Lav*	*Lav*	*Moderat*
	Middels	*Lav*	*Moderat*	*Stor*
	Stor	*Moderat*	*Stor*	*Stor*

Konsekvenser

Dersom uvedkommende får tilgang til sensitiv informasjon kan det få store konsekvenser, alt etter hvilken informasjon som blir kjent og hvem som blir kjent med denne. Eksempler på konsekvenser er:

Forholdet til TraustOgSolid blir påvirket, og OppOgFrem får færre og mindre viktige leveranser i fremtiden på grunn av manglende tillit når det gjelder sikkerhet.
Konkurrenter klarer å levere bedre og billigere produkter på grunn av kjennskap til OppOgFrem sine bedriftshemmeligheter.
OppOgFrem taper anbudskonkurranse fordi konkurrent kjente til innholdet i tilbudet og bød like under.

Risikovurdering

OppOgFram har startet med å vurdere risiko for virksomheten og tabellen nedenfor viser aktuelle risikoer. Gjennomgangen er ikke ferdigstilt.

Trussel: Konkurrenter får tilgang til informasjon

#	Årsaker	Risikovurdering			Mulige tiltak
		Konsekvens	Sansynlighet	Risikonivå
1	Egne ansatte kan ønske å spre sensitive opplysninger for egen vinnings skyld.	Stor	Sjelden	Moderat	Opplæring av ansatte
2	Uvedkommende kan bryte seg inn i datasystemet utenfra, enten på grunn av manglende sikring av nettverket, eller på grunn av sikkerhetshull i programmer som brukes eller som ansatte har lastet ned på eget initiativ	Stor	Kan skje	Stor	Opplæring av ansatte Utstyr som inneholder spesielt viktig informasjon skal kobles fra Internett
3	Vi kan bli offer for generelle angrep (virus/ormer/trojanere, jakt etter ressurser osv.) der sensitive data tilfeldigvis blir oppdaget og hentet ut. Disse kan så bli solgt videre.	Stor	Kan skje	Stor	Innstalleringer av sikkerhetsoppdateringer skal bli fast rutine B eskyttelsen av selve nettverket skal bli bedre og mer helhetlig
4	Utenforstående kan stjele utstyr der sensitiv informasjon er lagret.	Stor	Kan skje	Stor	Opplæring av ansatte Bedre fysisk sikring av maskinrom Bedre rutiner for avhending av utstyr og makulering
5	Ansatte kan bli lurt dersom de får en henvendelse om utlevering av informasjon fra noen som hevder de jobber i den andre avdelingen. Ikke alle ansatte kjenner hverandre.	Stor	Sjelden	Moderat	Opplæring av ansatte

Denne ukens ansvarlige for spørsmål og svar

Har du spørsmål om informasjonssikkerhet? Spør oss i NorSIS!