Riskhantering är ett oerhört viktigt ämne, och avgörande för att kunna arbeta enligt ISO 27001, NIS2 och DORA. Vi på Tripnet arbetar kontinuerligt med risker, och erbjuder tre olika workshops på temat.
Bakgrunden till vår certifiering
Anledningen till vår ISO 27001-certifiering var att Peter Andreasson, VD på Guardtools, kom till oss med ett krav på certifiering. En av deras kunder krävde att de certifierade sig, och då behövde vi också göra det eftersom vi är leverantör till dem. Vi bestämde oss för att ta oss an utmaningen.
– Informationssäkerhet kräver en kedja mellan alla olika inblandade aktörer. Därför ser vi det som ytterst viktigt att vi jobbar tillsammans med våra kunder och tillsammans med eventuella partners och underleverantörer. Kedjan är inte starkare än sin svagaste länk. Då kände vi att det var viktigt att vi ISO-certifierade oss, berättar Ulf Persson, VD på Tripnet.

Varför är riskhantering så viktigt?
– När du jobbar med informationssäkerhet är riskhantering hela grunden, säger Ulf. Om du inte vet vilka risker du har, vet du inte vad du ska skydda dig mot eller hur du ska prioritera. Därför är det oerhört viktigt att du jobbar systematiskt med dina risker. Att hitta risker, utvärdera, analysera och åtgärda. När man åtgärdar risker kan man antingen lösa det bakomliggande problemet, acceptera risken, eller delegera den.
– Riskhantering är ett utmärkt sätt att skapa struktur, men också ett kraftfullt verktyg för att bygga relationer. Genom att arbeta tillsammans med svåra frågor bygger vi ett starkare partnerskap. Du som kund får större inblick i vårt arbete, och vi får bättre förståelse för dina utmaningar. Det ökar förtroendet åt båda håll. Det här är mer än en övning, det är ett gemensamt ansvarstagande. Och det gör att vi är snabbare, tydligare och mer samspelta när det behövs som mest, säger Marcelo Cáceres Longé, informationssäkerhetspecialist på Tripnet.
Att skapa och effektivisera processer
ISO är inte bara ett krav utan också ett hjälpmedel till en ständig förbättring, som är bra för alla. ISO 27001 kräver att du dokumenterar dina arbetsprocesser och att du reviderar dem minst en gång per år. Du behöver också skapa ett riskregister, där risker dokumenteras. Till en början kändes det krångligt.
– Det var svårt att veta var man skulle börja. Därför har vi nu skapat olika workshops, varav en där vi hjälper kunden komma i gång med sitt riskhanteringsarbete, säger Marcelo. Så går vi vidare med att gemensamt identifiera risker, gärna löpande. Samt tabletopövningar för att testa våra katastrofplaner.
Oavsett vad du jobbar med ser vi alla ser risker, men inte alla har vanan att dokumentera dem. Där kommer vi på Tripnet, med våra noggrant beprövade system in i bilden. Vi hjälper dig med att hitta risker, identifiera hot och klura ut åtgärder. Kanske är de åtgärder du har inte tillräckliga och fler behöver implementeras?

Något för alla
Tripnet erbjuder tre olika workshops på temat riskhantering. Här kan du läsa om de olika alternativen.
RISKHANTERINGSWORKSHOP: Lär dig att identifiera, bedöma och hantera eventuella risker för din verksamhet. Utbildningen riktar sig till dig som står inför en ISO 27001-certifiering eller vill börja arbeta enligt NIS2 och eller DORA. På Tripnet jobbar vi med scenariobaserad riskhantering, där vi utgår från ett scenario och en identifierad sårbarhet. Vi identifierar hot och den konsekvens som hotet kan innebära för verksamheten.
Utifrån detta gör vi en riskbedömning. Ofta använder man en matris där man tittar på ett par olika parametrar. En vanlig modell, som vi på Tripnet använder, är att titta på sannolikheten för att hotet inträffar och väga den mot konsekvenserna. Utifrån matrisen får man fram en risknivå, som färgmarkeras i grönt, gult eller rött.
Sedan gör man en bedömning: vill man hantera risken? Minska risknivån? Skapa ett åtgärdsprogram? I vissa fall accepterar man risken. Det behöver inte vara fel att ha röda risker, det har vi också.
– Jag skulle säga att det är en del av att driva verksamhet och göra affärer, att ha risker. Vissa risker är dock extremt osannolika, och då kanske det inte är värt pengarna att åtgärda dem helt. Det måste finnas en rimlighet i allt arbete. Om man inte jobbat så mycket med riskhantering kan det vara nyttigt att göra det här arbetet, att lära sig, öva, och få med sig mallar och erfarenheter från oss på Tripnet, säger Ulf.
Läs mer om workshopen på denna länk.
GEMENSAM RISKWORKSHOP: Denna workshop är för dig som redan har koll på riskhantering, till exempel du som redan är ISO 27001-certifierad. På denna workshop går vi i stället igenom och identifierar gemensamma risker. Vi jämför våra kontinuitetsplaner och utvärderar vår gemensamma riskhantering. Här jobbar vi tillsammans med en kund som är insatt, har riskprocesser och vana att jobba med riskhantering för att tillsammans göra en ännu bättre analys, hitta fler sårbarheter och fler hot.
– Vilka olika scenarier ser vi? Vad ser kunden? Vad ser Tripnet? Vilka sårbarheter ser vi? Vilka hot? Det kan ju vara så att kunden ser hot som inte vi ser, eller tvärtom. Vi kanske ser olika sårbarheter, eller olika hot kopplade till samma sårbarhet, förklarar Ulf.
Genom en strukturerad process i workshopformat börjar vi med att plocka fram sårbarheter och hot. Vi gör gemensamma konsekvensbedömningar. Sen analyserar vi eventuella åtgärder och vem som ska göra vad. Vi på Tripnet har med oss våra erfarenheter från det riskarbete vi gör för alla våra kunder, och från vårt eget interna arbete. Den här workshopen är ett mycket effektivt sätt att jobba med risker – framför allt sådana som rör driften eller kan lösas med skyddsåtgärder kring driften.
Du kan läsa mer på produktbladet för tjänsten.
TABLETOP-KATASTROFÖVNING: Här övar vi tillsammans på riskerna vi identifierat. Vi tar fram ett fiktivt scenario där någon av de värsta riskerna har skett, och testar om riskhanteringen fungerar i praktiken. Vi har märkt att man vinner mycket på samarbete med riskhantering, och att övningarna blir väldigt spännande och lärorika.
– Vi brukar se att det som saknas i våra interna tabletopövningar är kundperspektivet, berättar Ulf. Hur skulle kommunikationen och dialogen med kunden faktiskt se ut i verkligheten? Det tillför oerhört mycket när flera företag är inblandade och man övar tillsammans.
Vår viktigaste erfarenhet är att kommunikationen, både internt och med inblandade parter, är avgörande. Därför är det värdefullt att öva på hur man kommunicerar, att säkerställa att det finns vägar och verktyg, och att det finns gemensamma förväntningar kring hur man samarbetar. Tabletopövningen är alltid mycket uppskattad. Man lär sig något nytt, får nya insikter och tar viktiga steg i arbetet med informationssäkerhet. Samtidigt får man en chans att testa och utvärdera sina katastrofplaner i praktiken.
Här är produktbladet för tjänsten, och här kan du läsa om en tabletopövning vi hade tillsammans med Guardtools.