Under ett webbinarie den 8 maj om styrning, risk och efterlevnad inom informationssäkerhet återkom säkerhetsexperten Lynda Woollard till en poäng som många organisationer sannolikt behöver höra oftare: riskhantering handlar inte om att skapa en känsla av kontroll, utan om att prioritera rätt.
Det finns något märkligt tryggt i en riskmatris. Några färgkodade rutor, siffror mellan ett och fem, kanske ett Excelark med identifierade risker, åtgärdsförslag och ansvariga personer. Det ser strukturerat ut. Det känns professionellt. Och för många verksamheter blir just den känslan nästan lika viktig som det faktiska säkerhetsarbetet. Problemet är förstås att känslan av kontroll inte är samma sak som faktisk kontroll.
Som Lynda uttryckte det under webbinariet:
Risk management is a critical component of an information security management system.
Det är svårt att argumentera emot. Samtidigt är det många organisationer som i praktiken behandlar riskhantering mer som en formalitet än ett beslutsverktyg. En workshop hålls, risker listas, ett dokument sparas i rätt mapp och sedan fortsätter verksamheten ungefär som vanligt. Det handlar sällan om ointresse. Ofta är det snarare en kombination av tidsbrist, begränsade resurser och att riskarbete upplevs som abstrakt jämfört med mer konkreta säkerhetsåtgärder. Det är trots allt enklare att köpa ett nytt verktyg än att ta en obekväm diskussion om vilken risknivå verksamheten faktiskt är beredd att leva med.
Riskhantering handlar inte om att hitta allt
En vanlig missuppfattning inom informationssäkerhet är att en bra riskanalys är en komplett riskanalys. Tanken är logisk på pappret – identifiera alla risker, bedöm dem och åtgärda dem. Problemet är bara att verkligheten inte fungerar så.
Organisationer förändras hela tiden. Nya system införs, leverantörer byts ut, beroenden uppstår, hotbilden utvecklas och människor fattar ibland beslut som ingen hade förutsett. Under webbinariet var Lynda ganska tydlig på den punkten: säkerhetsarbete måste bygga på realism, inte på föreställningen om total kontroll.
There are always unknowns.
Det är en ganska viktig insikt, för annars riskerar riskhantering att bli en jakt på fullständighet snarare än relevans. Ett bra riskarbete handlar inte om att skapa den längsta möjliga listan över hypotetiska problem. Det handlar om att förstå vilka risker som faktiskt kan påverka verksamheten på riktigt och prioritera därefter.
När riskmatrisen blir en ritual
Det är inget fel på riskmatriser i sig. De kan vara väldigt användbara när de hjälper organisationer att strukturera diskussioner om sannolikhet, konsekvens och prioritering. Men som med många verktyg uppstår problemen när själva verktyget börjar ersätta tänkandet.
Plötsligt handlar diskussionerna mindre om risken i sig och mer om huruvida den ska klassas som låg, medel eller hög. Någon tycker sannolikheten är tre. Någon annan lutar åt fyra. Gruppen landar i något som känns rimligt nog, uppdaterar kalkylbladet och går vidare till nästa punkt. Det kan absolut vara en del av processen, men det betyder inte automatiskt att organisationen blivit säkrare.
Det är här riskhantering ibland börjar likna en organisatorisk ritual. Alla gör det man förväntas göra, processen följs och dokumentationen finns på plats. Men de faktiska prioriteringarna förändras inte nämnvärt. Säkerhetsarbetet får formen av kontroll, utan att nödvändigtvis skapa särskilt mycket faktisk motståndskraft.
Alla risker är inte lika viktiga
En av de mer praktiska poängerna i Lynda Woollards resonemang var att säkerhetsåtgärder måste utgå från verkliga risker, inte från checklistor eller allmän oro.
Implement controls based on the risks your information faces.
Det låter självklart, men många organisationer gör i praktiken tvärtom. Säkerhetsprogram byggs utifrån standarder, ramverk eller generella best practices utan att först kopplas till den egna verksamhetens riskbild. Resultatet blir ofta att resurser läggs på sådant som inte är särskilt relevant, samtidigt som verkligt kritiska frågor inte får tillräcklig uppmärksamhet.
Det skapar inte bara ineffektivitet, utan också motstånd. När säkerhetskrav känns oproportionerliga eller dåligt förankrade i verksamhetens verklighet blir det svårare att få organisationen med sig. Bra riskhantering hjälper till att undvika just det genom att skapa tydligare prioriteringar. All information är inte lika känslig. Alla system är inte lika kritiska. Alla risker kräver inte samma nivå av åtgärd. Det låter enkelt, men i praktiken är det ofta svårare än man tror.
Den obekväma frågan om riskaptit
Det finns en fråga som många organisationer gärna skjuter framför sig: hur mycket risk är vi faktiskt beredda att acceptera?
Det är här riskaptit blir relevant, och det är också här många diskussioner blir obekväma. För även om det känns tryggt att säga att all risk ska minimeras är det sällan realistiskt. Varje säkerhetskontroll kostar något – tid, pengar, flexibilitet eller operativ smidighet. Varje ny process påverkar hur människor arbetar.
Det betyder att risk aldrig bara är en säkerhetsfråga. Det är en verksamhetsfråga.
Under webbinariet blev det tydligt att Lynda såg riskkriterier som något som måste bottna i organisationens verklighet, inte i en teoretisk idé om perfekt säkerhet. Utan tydliga principer blir besluten lätt inkonsekventa. En risk tolereras i ett sammanhang men inte i ett annat. Prioriteringar förändras beroende på vilka personer som råkar sitta i rummet. Och då blir styrningen snabbt ganska svag.
Det större problemet är ofta helheten
En annan viktig aspekt som lyftes under webbinariet var aggregerade risker. Det är lätt att bedöma risker en och en. Den här sårbarheten känns hanterbar. Den där leverantörsfrågan verkar inte akut. Det här beroendet ser inte särskilt allvarligt ut isolerat.
Men flera mindre risker tillsammans kan skapa ett helt annat läge.
Det är ett klassiskt problem i säkerhetsarbete. Varje enskild risk känns acceptabel på egen hand, tills man tittar på helheten och inser att organisationens samlade exponering är betydligt större än man trodde. Därför räcker det inte att bara samla risker i ett register. Riskarbete behöver också hjälpa organisationen att förstå samband, beroenden och mönster.
När verkligheten inte följer modellen
Under webbinariet nämnde Lynda bland annat British Airways som exempel på hur incidenter testar organisationers faktiska motståndskraft. Poängen var enkel men viktig: det spelar väldigt liten roll hur elegant riskmodellen ser ut om organisationen inte klarar verkligheten när något oförutsett faktiskt händer.
There are always unknowns.
Det är också därför riskhantering inte bara handlar om prevention. Det handlar om beredskap. Vad händer när antagandena visar sig vara fel? Vad händer när den risk man inte såg faktiskt inträffar? Hur snabbt går det att fatta beslut? Finns det kontinuitet, eller bara dokumentation?
Det är frågor som sällan ryms särskilt väl i en klassisk riskmatris, men som ofta är helt avgörande när det verkligen gäller.
Excel är inte problemet
Det är värt att säga tydligt: problemet är inte Excel.
Ett kalkylblad kan fungera alldeles utmärkt som verktyg. Ett enkelt riskregister som används aktivt är betydligt mer värdefullt än ett avancerat system som ingen riktigt arbetar med. Problemet uppstår när verktyget blir en symbol för kontroll i stället för ett stöd för bättre beslut.
Bra riskhantering handlar inte om att se sofistikerad ut. Den handlar om att skapa tydlighet. Vad är viktigast? Vad måste åtgärdas nu? Vad kan accepteras? Vad kräver uppföljning?
Det är där värdet finns.
Riskhantering ska inte få organisationen att känna sig trygg.
Den ska hjälpa organisationen att fatta bättre beslut när tryggheten faktiskt sätts på prov.
