Sara Classic: Den årlige IT-risikovurdering af hele IT-risikoområdet
SARA er en forkortelse for Security And Risk Assessment. Det er et projektforløb, der analyserer og formidler jeres samlede risikobillede på IT-området.
Projektforløbet giver svar på spørgsmål som:
- Hvad er det samlede risikoniveau for IT-området?
- Hvordan har risikoniveauet udviklet sig siden sidste år?
- Hvordan er risikoniveauet sammenholdt med virksomhedens risikoappetit?
- Hvad er tabet ved en ekstrem hændelse (f.eks. IT-kriminalitet)?
- Hvordan ser et typisk tab på IT-området ud?
- Hvordan er virksomhedens nuværende sikkerhedsniveau?
- Hvordan rangerer de forskellige typer af IT-risici i forhold til hinanden?
- Hvilke risikoreducerende foranstaltninger kan virksomheden implementere for at nedbringe risikoniveauet?
Risikoanalyse: SARA Classic estimerer potentielle tab
IT-risikovurdering er en proces, hvor man identificerer, analyserer og vurderer potentielle trusler og sårbarheder i en virksomheds IT-systemer og netværk, samt deres mulige konsekvenser. Formålet med en IT-risikovurdering er at identificere og prioritere risici, så man kan træffe beslutninger om, hvordan man skal håndtere dem.
En IT-risikovurdering kan omfatte en række forskellige trusler, herunder cyberangreb, naturkatastrofer, hardwarefejl, softwarefejl, menneskelige fejl, og mange andre typer af fejl. Det kan også dække over en række forskellige områder, herunder infrastruktur, data, applikationer, processer og mennesker.
Vi anvender Monte Carlo-simuleringer og CIS-kontroller til at estimere sikkerhedsniveau og potentielle tab i en virksomhed. Ved at kombinere Monte Carlo-simuleringer og CIS-kontroller får vi et mere komplet billede af jeres virksomheds risici og trusler. Monte Carlo-simuleringer giver en idé om sandsynligheden for, at et tab vil ske, og hvor store tabene vil være i et givent tilfælde. CIS-kontroller giver en idé om sandsynligheden af et tab, hvad konsekvenserne er, og hvor alvorligt tabet vil være, hvis det sker. Sammen kan de hjælpe med at estimere tabene helt ned til 99%-fraktilen.
Det er vigtigt at understrege, at IT-risikovurdering ikke er en engangsproces, men en løbende proces, da truslerne og teknologierne ændrer sig hele tiden. Derfor er det vigtigt, at risikovurderingerne løbende bliver genovervejet og revideret for at sikre, at jeres virksomhed er beskyttet mod de nyeste trusler.
Jeres virksomhed og ACI samarbejder om at afdække sårbarheder i IT-miljøet og om at estimere tab og sandsynligheder på en række trusselsområder. Samarbejdet sker via online-møder, workshops og en række værktøjer, som ACI stiller til rådighed under forløbet. På den måde kan jeres virksomhed få et indblik i jeres nuværende risikoniveau og få en idé om, hvilke foranstaltninger der skal træffes for at forbedre det.