2019-06-14

Är riskanalysen den största risken i ett systematiskt informationssäkerhetsarbete?

Ett systematiskt informationssäkerhetsarbete är i de flesta verksamheter ett önskemål eller krav. Ofta benämns det som ett LIS, Ledningssystem för Informationssäkerhet och bygger på en standard, vanligtvis baserat på ISO-standarden för LIS; ISO/IEC 27000-serien. Syftet med LIS är att minimera risken för oönskade händelser eller incidenter i verksamhetens information med ett brett perspektiv.
En central del i arbetet med att bygga upp och underhålla LIS är riskanalyser. Att förstå och prioritera vad man vill skydda och mot vad.
Jag har genom åren deltagit i och lett ett större antal riskanalyser men sällan varit nöjd. Det format för riskanalyser som normal används inom informationssäkerhet (“Scenario-based risk identification”) börjar ofta med ett seminarium om en halv till en dag med upp till 10 deltagare från olika roller i verksamheten. Till detta en seminarieledare som kanske saknar verksamhetskunnande.
Gruppen får inledningsvis uppmaningen att lista risker de ser i verksamheten, dessa grupperas sedan och man går igenom listade risker, värderar med vilken sannolikhet de slår in och då vilken konsekvens som de kan orsaka. Seminarieledaren dokumenterar vad som kommit fram och levererar efter några dagar en riskanalys som rapporteras inför beställaren som i sin tur beslutar om ev. åtgärder för att minska skaderisker.

Men...
Hur är det med kvalitén på analysen. Den kan svårligen bli bättre än de "indata" som redovisats vid seminariet. Jag ser följande problem:

  1. Historik, incidenter som skett tidigare i samma domän i den egna verksamheten eller hos andra kommer bara med om någon deltagare har minnen av något sådant.
  2. Vilka risker som kommer med är i huvudsak beroende på deltagarnas fantasi utöver den historik som redovisas.
  3. Värdering av sannolikheten att någon oönskat och kanske okänt kan inträffa blir ofta vilda gissningar som i analysen läses som fakta.
  4. Beskrivningen av konsekvenser och kostnader för en incident blir ofta mer realistiska, framförallt om man orkar inkludera de följdfel en incident skapar så här är problemen mindre men även här finns osäkerhet.
  5. Formatet på analysen är ofta detsamma för perifera delar av verksamheten som för dess kärna. Att belysa risker som kan påverka verksamhetens existens skall också klaras av på en dag.
Så...
För ett framgångsrikt informationssäkerhetsarbete behövs oftast bättre riskanalyser än vad som görs idag. Men det kan vara svårt att motivera kostnaden för detta. Redan att avsätta tid för kanske 10 anställda under en dag och dessutom betala för någon som leder och dokumenterar analysen kan uppfattas som dyrt. Men vad är dyrt om det kan förebygga att verksamheten i värsta fall går under?
Jag har sett analyser som sannolikt uppskattar risker som hundrafaldigt fel eller överhuvud inte tagits upp. 
Jag ser att vi behöver kanske bättre och mer genomarbetade riskanalysmetoder med vetenskapligt stöd i metodportföljen för informationssäkerhet. Att en riskanalys som kan medverka till att förbygga verksamhetens hädanfärd faktiskt får kosta mer en de enkla vi gör idag.
Jag ser riskanalyser inom flyg, kärnkraft och medtech som föredöme i kvalitet. Där rör det sig direkt om människors liv och hälsa men informationssäkerhet kan indirekt beröra detsamma. Förutsättningar, historik m.m. är annorlunda i nämna branscher men man tillåter också att riskanalyserna får kosta.

Kan vi förändra synen på nyttan med riskanalyser och vad de får kosta så att vi kan göra bättre?