Hanteringen av informationssäkerhetsrisker hamnar i många små och medelstora företag mellan två ytterligheter: riskerna behandlas antingen på en för allmän nivå eller arbetet blir en tung Excel-övning som inte styr vardagliga beslut. Resultatet blir detsamma: ledningen får inte en tydlig bild av de största hoten, och personalen vet inte vad som bör göras först.
I denna artikel går vi igenom hur hanteringen av informationssäkerhetsrisker bör byggas upp med hjälp av ISO 27001-ramverket så att det verkligen ger nytta för verksamheten. Ni får en praktisk modell för vilka risker som bör bedömas, hur de poängsätts, hur åtgärder prioriteras och hur helheten hålls levande utan onödig administrativ börda.
Vad betyder ISO 27001 ur ett riskhanteringsperspektiv?
ISO 27001 är en internationell standard för ett informationssäkerhetshanteringssystem, alltså ett systematiskt sätt att leda informationssäkerhet. Ur riskhanteringsperspektiv är kärnprincipen enkel: identifiera de risker som är relevanta för organisationens information, system och tjänster, bestäm hur de ska hanteras och säkerställ att besluten återspeglas i praktiska åtgärder.
Det låter rakt på sak, men i praktiken snubblar många över att riskhantering lossas från verksamheten. Om ni bedömer risker enbart på allmän nivå, såsom ”cyberattack” eller ”mänskligt misstag”, vet ni än så länge inte vad som faktiskt behöver skyddas, vem som ansvarar och inom vilken tidsram. Därför styr ISO 27001 er att knyta riskerna till er egen verksamhetsmiljö.
En bra utgångspunkt är att begränsa bedömningen åtminstone till följande områden:
- centrala affärsprocesser
- viktiga informationsresurser, såsom kunddata och personaluppgifter
- kritiska system och molntjänster
- externa leverantörer
- personalens arbetssätt och behörigheter
Observera
ISO 27001 kräver inte en specifik riskbedömningsmodell. Det viktiga är att ni använder en konsekvent metod för att identifiera, bedöma och hantera risker — och att ni kan motivera era valda lösningar.
Bra riskhantering börjar med avgränsning, inte en kontrollista
Ett vanligt misstag är att direkt börja med att lista kontroller, alltså skyddande åtgärder. Då kan organisationen införa många rutiner utan att ha klart för sig vilken risk de egentligen minskar. Det första steget är att definiera tillämpningsområdet, alltså vilken del av verksamheten, tjänsterna och informationen som styrsystemet gäller för.
I praktiken kan en lämplig avgränsning för ett SME vara en affärsenhet, en SaaS-tjänst eller hela kedjan för hantering av kunddata. Det viktigaste är att avgränsningen är realistisk och att de risker som finns inom den kan bedömas på riktigt. En alltför vid start bromsar arbetet, en alltför snäv lämnar viktiga beroenden utanför.
När ni avgränsar helheten, svara åtminstone på dessa frågor:
- Vilka tjänster eller processer är mest kritiska för verksamheten?
- Vilken information hanteras, och vad skulle konsekvenserna bli om informationen läckte, förändrades eller försvann?
- Vilka system, personer och partners hör till denna helhet?
- Vilka lagkrav eller avtal påverkar informationssäkerheten?
Exempelvis, om ert företag levererar programvarutjänster till företagskunder, bör bedömningen inriktas på produktionsmiljön, kunddata, administratörsbehörigheter, backup och underleverantörer. Då får ni snabbt fram 3–5 huvudrisker att ta tag i först.
Identifiera riskerna: fokusera på sannolika och betydande situationer
Målet med riskidentifieringen är inte att skapa en fullständig hotkatalog. Målet är att hitta de situationer som verkligen kan störa verksamheten, orsaka informationsläckage, bryta tjänsten eller bryta avtalsåtaganden. En bra risklista är kort, förståelig och kopplad till vardagen.
Ett fungerande sätt är att granska riskerna utifrån tre frågor:
- Vad värdefullt har vi att skydda?
- Hur kan detta hotas?
- Vilka konsekvenser blir det för verksamheten?
Typiska informationssäkerhetsrisker för små och medelstora företag kan t.ex. vara:
- anställdas eller underleverantörers för vidsträckta behörigheter
- avsaknad av multifaktorautentisering för administrationskonton
- test av backupåterställning saknas
- störning hos eller bristande avtal med kritisk SaaS-leverantör
- nätfiske som leder till missbruk av konton
- bristfällig utträdesprocess, så att konton inte spärras i tid
I detta skede bör varje risk tilldelas en ägare. Riskägaren är inte den person som löser allt själv, utan den som säkerställer att risken bedöms, hanteras och följs upp. I ett SME kan detta vara IT-chefen, tjänsteansvarig eller VD.
Tips
Håll den första riskworkshopen 60–90 minuter lång och sätt målet på högst 10 betydande risker. Då hålls diskussionen beslutsfokuserad och dränks inte i detaljer.
Riskbedömning: gör poängsättningen enkel och jämförbar
När riskerna identifierats behöver de bedömas med samma logik. I praktiken handlar det ofta om två faktorer: hur sannolik risken är och hur stor påverkan är. En alltför komplicerad poängsättning bromsar arbetet, så ett SME räcker ofta med en skala 1–3 eller 1–5.
Nedan finns en enkel modell som kan användas som grund för ISO 27001-riskhantering:
| Faktor | 1 = låg | 2 = medel | 3 = hög |
|---|---|---|---|
| Sannolikhet | Osannolik, under en gång på 3 år | Möjlig, cirka en gång per 1–3 år | Sannolik, kan ske årligen |
| Påverkan | Begränsad störning, under 4 h driftstopp eller låg kostnad | Tydlig störning, 1 arbetsdag påverkan eller kundpåverkan | Allvarlig störning, över 1 dags avbrott, avtal- eller ryktepåverkan |
Risknivån kan räknas fram genom att multiplicera siffrorna. Till exempel sannolikhet 3 och påverkan 3 ger risknivån 9, vilket är hög risk. Det viktigaste är inte matematiken utan att liknande situationer bedöms på samma sätt.
Följande tabell stödjer prioritering:
| Risknivå | Tolkning | Åtgärd |
|---|---|---|
| 1–2 | Låg | Uppföljning som del av ordinarie verksamhet |
| 3–4 | Måttlig | Planera förbättring inom 1–3 månader |
| 6–9 | Hög | Starta åtgärder omedelbart, utse ansvarig och följ upp månatligen |
Exempel: Om underhållskonton saknar multifaktorautentisering och används via fjärranslutningar, kan sannolikheten vara 3 och påverkan 3. Detta är inte en "utvecklingsidé" utan en brådskande risk som bör hanteras omgående.
Riskhantering: välj åtgärder som verkligen minskar risken
Riskbedömningen förbättrar inte säkerheten i sig. Nästa steg är att besluta vad som ska göras med risken. Riskhantering innebär i praktiken fyra alternativ: minska, undvika, överföra eller acceptera risken. För små och medelstora företag är det vanligaste och mest vettiga att minska risken.
Åtgärderna måste vara konkreta, mätbara och tidsatta. En dålig formulering är "förbättra behörighetshanteringen". En bra beskrivning anger vad som ska göras, vem som gör det och när det ska vara klart.
Exempel på bra åtgärder:
- ta bort konton för avgående anställda inom 24 timmar efter anställningens slut
- införa multifaktorautentisering för alla administrations- och fjärrkonton inom 30 dagar
- testa backupåterställning kvartalsvis och dokumentera resultat
- gå igenom avtal med kritiska leverantörer inom 2 månader och säkerställ informationssäkerhetskrav
- granska användarbehörigheter 4 gånger per år tillsammans med systemägare
ISO 27001 bilaga A innehåller en uppsättning kontroller, alltså styrmedel, som ni kan välja för riskhantering. Tanken är inte att införa allt som en säkerhetsåtgärd, utan att motivera varför just vissa kontroller behövs för er miljö.
Varning
Ett vanligt misstag är att kopiera kontroller rakt av från mallar utan egen riskbedömning. Det genererar lätt mycket dokumentation men liten verklig riskreduktion.
Identifiera 3–5 verksamhetskritiska områden
Lista tjänster, information och system där störningar skulle påverka kunder, omsättning eller kontraktsåtaganden mest. Om ni är osäkra på var ni ska börja, fråga ledning och tjänsteägare: vad skulle stoppa verksamheten redan idag?
Identifiera största riskerna i workshop
Ta med minst verksamhetsägare, IT-ansvarig och vid behov person med kunskap om integritet eller kvalitet. Dokumentera för varje kritiskt område 1–3 realistiska riskscenarier istället för att försöka lista allt möjligt.
Poängsätt riskerna med en gemensam modell
Bedöm sannolikhet och påverkan för varje risk på samma skala, exempelvis 1–3. Kom överens om vilken poäng som kräver omedelbar åtgärd, så att besluten inte blir godtyckliga.
Definiera åtgärder, ägare och tidsfrister
För varje hög och måttlig risk, identifiera minst en konkret åtgärd, ansvarig person och målpunkt. En bra tumregel är att den första korrigerande åtgärden för hög risk startas inom 30 dagar.
Följ upp genomförandet månadsvis
Håll risklistan som ett levande ledningsverktyg, inte som årlig dokumentation. Gå igenom minst en gång per månad vilka åtgärder som är klara, försenade och om nya risker har uppstått exempelvis efter förändringar, revisioner eller avvikelser.
Hur håller ni riskhanteringen levande i vardagen?
Den bästa riskregistret blir snabbt inaktuellt om det enbart uppdateras inför revisioner. Därför är det klokt att koppla riskhantering till existerande ledningsrytmer: månadsmöten, förändringshantering, leverantörsgenomgångar och avvikelsehantering. Då blir riskerna inga separata projekt.
En praktisk modell för SME kan se ut så här:
| Frekvens | Vad görs | Tid |
|---|---|---|
| Månatligen | Gå igenom höga risker och öppna åtgärder | 15–30 min |
| Kvartalsvis | Kontrollera behörigheter, backuptester och leverantörsrisker | 1–2 h |
| Halvårsvis | Uppdatera riskbedömningen efter betydande förändringar | 2–3 h |
| Årligen | Ledningsgenomgång: trender, avvikelser, investeringsbehov | 1–2 h |
I uppföljningen rekommenderas att använda några få tydliga nyckeltal. För många nyckeltal fördunklar bild av situationen. Börja med exempelvis:
- hur många höga risker som är öppna
- hur många överenskomna åtgärder som slutförts i tid
- hur snabbt behörigheter tas bort efter anställningsavslut
- hur många backupåterställningstester som gick som planerat
- hur många informationssäkerhetsincidenter som inträffade per månad
Om ni använder ett verktyg som Tietoturvapankki blir det lättare att hålla dokumentationen, ansvar och uppföljning samlade. Det minskar manuellt arbete och underlättar att visa vid revision att riskhanteringen är levande, inte bara på papper.
Vilka är fördelarna med bra riskhantering för små och medelstora företag?
Många tror att ISO 27001 riskhantering bara görs för certifiering eller kundkrav. Det kan vara bra drivkrafter, men den största nyttan finns oftast i vardagliga beslut. När ni vet vilka risker som verkligen är betydande kan investeringar riktas bättre och de brådskande bristerna åtgärdas först.
Praktiska fördelar inkluderar till exempel:
- färre oväntade driftstopp och behörighetsfel
- bättre beredskap att svara på kunders informationssäkerhetsfrågor
- tydligare ansvarsfördelning mellan ledning, IT och tjänsteägare
- enklare att motivera säkerhetsinvesteringar utifrån affärsrisker
- stabilare grund för certifiering och kontinuerlig förbättring
Om ni redan har ISO 9001 eller annat ledningssystem i organisationen går det ofta att anpassa riskhanteringsrutinerna till samma ledningsmodell. Det minskar dubbelarbete. Lösningar utvecklade av Softapankki Oy och QMClouds Oy, som Tietoturvapankki och Kvalitetsbanken — Koncernens kvalitetsledningsvarumärke, bygger just på tanken att göra ledningssystem praktiskt och inte tungt.
Sammanfattning
- ISO 27001 hjälper er att bygga upp en systematisk hantering av informationssäkerhetsrisker, men modellen behöver kopplas till er egen verksamhet.
- Börja med avgränsning och identifiera först 3–5 huvudrisker, försök inte beskriva allt på en gång.
- Använd enkel poängsättning, till exempel sannolikhet gånger påverkan på skala 1–3, för jämförbara risker.
- Dokumentera för varje betydande risk en konkret åtgärd, ansvarig och tidsfrist, såsom borttagning av konton inom 24 timmar.
- Håll riskhanteringen levande i månads- och kvartalscykler så att den stödjer ledningen och inte blir en revisionsdokumentation.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.