Dette er ein maskinomsett tekst som kann innehalda feil!
At ein veit at truslar finst er bra, men det hjelper lite om ein ikkje veit kva truslar som er mest relevante for ditt system. Ein risikoanalyse hjelper deg med å prioritera: kva skal du vernast, kva kan gå galt, og kva bør du gjera med det?
Kva er ein risikoanalyse?
Ein risikoanalyse er ein systematisk gjennomgang der du:
- Finn ut kva som kan gå galt
- Vurderer kor sannsynleg det er
- Vurderer kor alvorleg konsekvensen er
- Føreslår tiltak for å redusere risikoen
Du treng ikkje vera sikkerheitsekspert for å gjera dette. Det handlar om å tenkja systematisk.
Steg for steg
1. Verdivurdering: Kva hev me?
Før du kann vernja noko, må du vita kva du hev. List upp dei viktigaste verdiene i systemet:
| Verdi | Døme | Kvifor viktig? |
|---|---|---|
| Data | Brukar-data, prosjekt-filer | Kann ikkje gjenskapast |
| Tenester | Web-tenar, e-post, fil-lagring | Folk er avhengige av dei |
| Maskinvare | Tenarar, nettverks-utstyr | Kostar pengar og tid å erstatta |
| Omdøme | Tilliten brukarane hev til systemet | Vanskelig å gjenoppbygga |
2. Risikoidentifisering: Kva kann gå gal?
Tenk gjennom kva som kann truga verdiene dine:
| Risiko | Skildring |
|---|---|
| Ransomware | Filer vert krypterte og krev løsepengar |
| Straumutfall | Serverar og nettverk fell ned |
| Diskfeil | Data vert tapte |
| Phishing | Nokon gjev frå seg passord |
| Feilkonfigurering | Ei endring som tek ned ei teneste |
| Naturhending | Brann, vasskade, tordenvær |
3. Vurder Sannsynleiken og Konsekvensen
For kvar risiko vurderer du to ting på ei skala (t.d. 1-5):
- Sannsynleiken: Kor sannsynleg er det at dette hender?
- Konsekvensen: Kor alvorleg er det viss det hender?
Risikoverdi = Sannsynleiken × Konsekvensen
| Risiko | Sannsynleiken (1-5) | Konsekvensen (1-5) | Risikoverdi |
|---|---|---|---|
| Diskfeil | 3 | 4 | 12 |
| Ransomware | 2 | 5 | 10 |
| Phishing | 4 | 3 | 12 |
| Straumutfall | 2 | 3 | 6 |
| Feilkonfigurering | 3 | 3 | 9 |
Jo høgare risikoverdi, jo meir prioritering bør du gjeva tiltaka.
Risikomatrise
Ei risikomatrise syner dette visuelt med fargar:
- 🟢 Låg (1-6): Akseptabel risiko, men hald auga med han
- 🟡 Middels (7-14): Bør ha tiltak på plass
- 🔴 Høg (15-25): Krev umiddelbare tiltak
4. Framlegg til tiltak
For kvar risiko med høg eller middels verdi, framlegg du tiltak:
| Risiko | Tiltak |
|---|---|
| Diskfeil | Backup (3-2-1-regelen), RAID på tenarar |
| Ransomware | Oppdateringar, offline backup, opplæring |
| Phishing | Bevisstgjering, MFA, e-postfiltrering |
| Feilkonfigurering | Dokumentasjon, endringslogg, snapshot før endring |
5. Dokumenter og følg upp
Risikoanalysen er ikkje ei eingongsøving. Skriv ho ned, del henne med laget, og gjennomgå henne jamt (t.d. kvart halvår eller etter ei hending).
Oppgåve 1 – Gjennomfør ei mini-risikoanalyse
Vel eit system du kjenner (t.d. di eiga datamaskin, ein VM du har sett opp, eller skulen sitt nettverk) og gå gjennom stega:
- List opp 3-5 verdiar (kva er viktig?)
- Finn 3-5 risikoar (kva kan gå gale?)
- Gjev kvart punkt ei sannsynlighet og konsekvens (1-5)
- Foreslå tiltak for dei med høgast risikoverdi
Bruk eit rekneark eller ei enkel tabell i Markdown.
Oppsummering
- Ein risikoanalyse hjelper deg med å prioritera tryggingstiltak
- Stega er: verdsetjing, risikoundersøking, vurdering av sannsyn/konsekvens, tiltak og dokumentasjon
- Risikoverdi = sannsynlighet × konsekvens
- Risikoanalyse er ikkje ei eingongsøving, ho bør uppdaterast jamt.
Du kan lasta ned ei mal for risikovurdering hjå Datatilsynet.