Gratis e-bok: NIS2 redo med hjälp av bästa praxis enligt ISO 27001
Ladda ner e-bok
Akademin hem
Hjälper
Beräkning av risknivå i Cyberday

Riskutvärdering är det steg i riskhanteringen för informationssäkerhet där man sätter riskerna i en prioriterad ordning genom att utvärdera deras påverkan och sannolikhet, och på så sätt räknar ut risknivån.

Inställningar för riskautomatisering

Riskhantering kan utföras på Cyberday helt manuellt eller genom att dra nytta av våra automatiseringar.

Inställningarna för detta hittar du i Inställningar -> Riskhantering: Allmänna inställningar.

Om du vill dra nytta av Cyberday:s automatiska riskbedömning ska du aktivera riskautopiloten.

Vad är automatiserad riskbedömning?

Som du minns från början av den här artikeln är poängen med riskbedömning att få riskerna i en korrekt prioriterad ordning. Detta bör ske med hänsyn till hotets art, men också till dina nuvarande åtgärder och typen av verksamhet och dess driftsmiljö.

Det är ingen enkel uppgift, och den automatiska riskbedömningen är till för att hjälpa dig.

Om du använder automatiserad riskbedömning kommer följande saker att hända automatiskt:

  • Fylla i en startutvärdering för varje risk (sannolikhet + konsekvensvärden) enligt expertutlåtande
  • Justering av risknivån enligt riskkontrollfaktorn

Cyberday kopplar alltid automatiskt samman relaterade kontrolluppgifter med risker, men du kan också justera dessa kopplingar manuellt från riskkortet.

Detaljer för beräkning av risknivån

Risknivån beräknas genom att multiplicera sannolikheten med konsekvensen. Enligt inställningarna i din autopilot för risk multipliceras detta sedan med mognadsfaktorn för dina nuvarande kontroller (0-1) (dvs. riskkontrollfaktorn).

Risknivå med riskautopilot

Om du låter riskautopiloten vara aktiverad beräknas risknivån genom sannolikhet x påverkan x riskkontrollfaktor.

Riskkontrollfaktorn beräknas på följande sätt och ligger alltid mellan 0-1:

  1. Hitta alla kontrolluppgifter som är kopplade till risken (i blocket "Aktuella riskkontrolluppgifter")
  2. Skapa ett riskkontrollvärde för varje riskkontrolluppgift beroende på dess status
    • 0,02 när status är PENDING (ej utförd)
    • 0,05 när status är ACTIVE (Delvis/Mycket gjort)
    • 0,10 när status är DONE (helt klar)
  3. Justera riskkontrollvärdet för varje riskkontrolluppgift i enlighet med dess prioritet
    • 2x när prioriteringen är KRITISK
    • 1,5x när prioritet är HÖG
    • 1x när prioritet är MEDIUM
    • 0,5x när prioritet är LÅG
  4. Minus summan av alla uppgifters riskkontrollvärden från 1 för att få riskens riskkontrollfaktor beräknad
    • t.ex. 1 - ( done_low_priority_task + active_high_priority_task)
    • = 1 - (0.05 + 0.075)
    • = 0.875

I det här fallet, om riskens utvärderade initiala värden för sannolikhet och påverkan är 2 och 3, skulle beräkningen bli följande:

  • Risknivå = 2 * 3 * 0,875 = 5,25

Risknivå utan riskautopilot

Om du väljer att avaktivera riskautopiloten fyller du i riskutvärderingarna manuellt och risknivån beräknas direkt genom sannolikhet x konsekvens.

Innehåll

Dela artikel