En viktig motivasjon for mange av kundene som kontakter Ivolv er å få bedre oversikt og evne til å beskytte seg mot cyberangrep. Her bistår vi blant annet med å gjennomføre risikovurderinger, kartlegge bedriftens verdier, finne sårbarheter og lage prioriteringslister over tiltak som vil redusere risikoen for å bli hacket.
Hans Olav Aske har omfattende erfaring med forebyggende arbeid innen cybersikkerhet og jobber i dag som spesialrådgiver i Ivolv.
– En Cyber Risk Assessment er en strukturert kartlegging som avdekker hva som er de faktiske cyber risiko i virksomheten. Hva er de reelle truslene mot verdiene i ditt selskap? Hvilke sårbarheter finnes? Konsekvensen vil komme an på hvor viktig de ulike eiendelene er for selskapet ditt. Det er en risikovurdering av både de tekniske og organisatoriske byggesteinene, sier Aske.
For at noe skal defineres som en risiko, må du ha en eiendel som har en sårbarhet og som er utsatt for en trussel.
– Når vi har satt dette i system, kan vi bruke vår erfaring og spisskompetanse til å fortelle hva dette betyr i praksis for deg, og vekte risikoene opp mot hverandre. Hvor sannsynlig er det at de inntreffer og hva vil konsekvensen være?
En Cyber Risk Assessment sammen med en kost-nytteanalyse gjør det betydelig enklere for bedrifter å se hvilke trusler de står overfor og hvilke tiltak som bør prioriteres.
– En slik evaluering gjøre det mulig å se sårbarheter og trusler på tvers i selskapet. Og det viktigste – hvis dette inntreffer; hvordan vil det påvirke bedriften, deres kunder eller omverden generelt?
Ved hjelp av en Cyber Risk Assessment får bedrifter vurdert sannsynlighet og det potensielle skadeomfanget ved et eventuelt hackerangrep.
En Risk Assessment kan ta for seg et helt selskap, en spesiell lokasjon eller et spesielt system, enhet eller en tredjepart. Det er derfor viktig med et godt kartleggingsmøte for å finne scopet og begrensinger.
– Det viktigste er å forstå kunden, identifisere hvilke verdier de har, hvordan de jobber, og hvilke sikringsmekanismer og kontrolltiltak de allerede har implementert. Få innsikt rett og slett.
Ivolv har en god og systematisk prosess for å hjelpe kunder med å finne ut hva som finnes av verdier, og å verdisette disse riktig.
– For å få best mulig innsikt, må vi stille de riktige spørsmålene, fortsetter Aske:
Ivolv tar utgangspunkt i flere kjente rammeverk når det gjennomføres en Cyber Risk Assessment.
– Vi har plukket ut det som vi mener er det beste – med utgangspunkt i rammeverk fra NIST, ISO 27001, NSM og CIS har vi utviklet vårt eget, som vi jobber etter i dag. Dette tilpasser vi til den enkelte kunde, deres bransje og konteksten de jobber i.
Med et godt rammeverk mener Aske det blir betydelig enklere å følge opp tiltak og drive kontinuerlig forbedring.
Etter analysearbeidet i bedriften er utført, gjennomføres det kalkulasjoner og vekting av funnene og deres avhengigheter, som grunnlag til en prioriteringsliste for videre tiltak. Noen forbedringstiltak kan være lavthengende frukter som raskt og enkelt kan fikses, mens andre kan være mer kompliserte og tidkrevende.
– Når du sitter med listen over risikoer som finnes i bedriften din og hvor alvorlige de er, kommer vi til dette med risk treatment - altså selve behandlingen og oppfølgingen av det som har blitt kartlagt og identifisert. En veldig alvorlig risiko kan ta to minutter å fikse, mens en som er litt mindre alvorlig kan gjerne ta et år å fikse, eller motsatt. Da gjelder det å finne den rette prioriteringen for å få best mulig resultat for minst mulig penger – nytte-kost tankegang.
Aske poengterer at det er viktig at man ikke lar en Cyber Risk Assessment forbli et enkelt skippertak eller engangshendelse, men noe som bør gjentas og jobbes med, slik at man får en kontinuerlig forbedring.
– Det er jo et dynamisk bilde. Det vil hele tiden være nye trusler, IT-miljøet og systemene man bruker endrer seg, og bedriften får nye eiendeler. Derfor bør dette være en prosess som pågår hele tiden.
Ivolv er opptatt av å hjelpe bedrifter med å jobbe strukturert og systematisk med risikovurdering, slik at man er bedre forberedt ved et eventuelt angrep.
– Egentlig bør alle bedrifter gjennomføre en cyber risk assessment, men på ulike nivåer. Det er mye lettere for mindre bedrifter, rett og slett fordi de er mindre og har mindre ting de skal beskytte. Derfor blir det billigere, men også enklere å gjennomføre. Gjør du en risk assessment, er du bedre forberedt, reduserer risiko og konsekvens på forhånd i stedet for å starte og måtte bruke tid på dette når det først inntreffer, avslutter Aske.
