15. desember 2017

Vurder din risiko

Kristian Thaysen

Kristian Thaysen

Partner, leder for rådgivning
E-post: [email protected]
Telefon: +47 940 15 007

Store mangler i norske virksomheters risikostyring

Det fremstår selvsagt for de fleste at ledelsen må ha et helhetlig perspektiv på virksomheten. Likevel er det bare hver tiende norske virksomhetsleder som har nettopp dette. Det er et sjansespill med høy innsats. Med personvernforordningen GDPR i anmarsj, høynes innsatsen ytterligere.

For fjerde året på rad har BDO gjennomført Risikoundersøkelsen. 1500 ledere i private og offentlige virksomheter har svart på spørsmål om sitt syn på risikostyring.

Av respondentene oppga kun 10 % at de arbeidet helhetlig og integrert med risikostyring.

– God risikostyring er sentralt for å sikre at virksomheten lykkes med å gjennomføre sin strategi i størst mulig grad. Samtidig bør risikostyringen gi en viss grad av sikkerhet for om valgt strategi er riktig og om det er forhold som tilsier at denne bør justeres, sier Kristian Thaysen, leder for tjenesteområdet rådgivning i BDO.

Les også: Ledelsen eier risikoen og dermed risikostyringen

Avgjørende med helhetlig og integrert risikostyring

Lederundersøkelsen retter særlig oppmerksomheten mot det stadig økende digitale risikobildet. Nærmere 40 % av de spurte mener datakriminalitet som rammer virksomheten deres vil være kritisk. Nesten 60 % av de spurte mener de er godt nok rustet mot slik kriminalitet.

– Vår erfaring er dessverre at virksomhetene ikke er så godt rustet som de selv tror at de er.

En helhetlig og integrert risikostyring er ifølge Thaysen et viktig ledelsesverktøy, og avgjørende for å forstå risikoene bedriften er utsatt for og hvordan man skal håndtere dem. En forutsetning er at ledelsen kjenner og håndterer utfordringene som kan påvirke veien mot målet.

– For å identifisere hvilken beskyttelse virksomheten trenger, er det avgjørende å forstå trusselbildet. Det første spørsmålet er hva som er den faktiske verdien av informasjonen virksomheten besitter, sier han.

Gode råd: 10 spørsmål om IKT-sikkerhet alle toppledere bør stille seg

GDPR fører til økt bevissthet

Oppmerksomheten rundt de nye personvernreglene (GDPR) har ifølge Thaysen ført til økt bevissthet rundt sikring av personopplysninger.

I arbeidet med å forstå verdien av informasjonen virksomheten besitter, er det imidlertid flere områder som bør belyses. Kundelister, kontrakter, børssensitiv informasjon, informasjon om kritisk infrastruktur, produktdesign, virksomhetsstrategi og liknende er alt informasjon som kan ha høy verdi.

– For å vurdere hvor høy verdien av informasjonen faktisk er, er det avgjørende å ha et bevisst forhold både til hvor verdifull informasjonen er for din virksomhet og hvor verdifull den kan være for andre.

Les også: Under seks måneder igjen – Slik starter du GDPR-tilpasningen nå

Identifiser dine sårbarheter

Når verdien av informasjonen er etablert, er det neste steget å vurdere hvilke trusler virksomheten står overfor og identifisere virksomhetens sårbarheter. Da kan såkalte penetrasjonstester av et IKT-system gi deg informasjon om hvor sårbar du er og hvor tiltakene må settes inn. Basert på denne innsikten kan styret og ledelsen ta stilling til om virksomheten har etablert de rette tiltakene for å beskytte seg mot alle typer risiko – også datakriminalitet.

Vurder din risiko

For å vurdere risiko, trengs det kunnskap om verdiene, truslene og sårbarhetene. Slik får du denne oversikten:

  • Forstå verdien av informasjon som du besitter: Kartlegg hvilken verdi informasjonen har for deg og hva den kan bety for andre. Denne testen er et godt utgangspunkt.
  • Forstå trusselbildet og foreta en scenarioanalyse: Få oversikt over det aktuelle trusselbildet og analyser din egen sårbarhet mot dette.
  • Foreta en gapanalyse: En gapanalyse går ut på å finne avstanden mellom nåværende sikring og ønsket sikring. Den gir deg også innsikt i hvilke gap virksomheten kan leve med og hvilke de mener må gjøres noe med.
  • Tiltak: Iverksett tiltak for å redusere din sårbarhet. Anbefalte tiltak varierer avhengig av hva trusselen er.

Se hele: Her kan du laste ned rapport om risikoundersøkelsen

Kontakt oss gjerne dersom du har spørsmål

DEL DETTE INNLEGGET: