Praktiska riskanalyser, erfarenheter och lärdomar från it-landskapet (del 1 av x)

I detta första inlägg av ett antal (ingen aning om hur många det blir) tänkte jag dela med mig lite av min erfarenhet och mina lärdomar från att arbeta med riskanalyser. Jag underbygger detta med ungefär fyra år av månatliga analyser i vilka jag gjort en hel del misstag men också förhoppningsvis även producerat några vettiga resultat.

Framförallt kan jag kanske stimulera till lite dialog om vad som fungerar, och vad som fungerar mindre bra. Genom åren av analysarbete har jag stött på mängder av processer, modeller och ramverk som ska bidra till bättre riskanalyser, inte allt för sällan trivialiseras arbetet med resultat därefter.

I den romantiska, härliga världen av fullständigt kvantitativa riskanalyser är allting bra, för vi kan beräkna allt. Även om jag drar mig för att kalla nuläget en dystopi, är det ändå ganska ofta vi multiplicerar gissningar med gissningar, och kallar det kvantitativt. Så även om vår strävan bör vara kvantitativa riskanalyser är det en utopi vi troligtvis inte kommer att få erfara inom en nära framtid. Vi är åtminstone i nuläget väldigt långt ifrån idealet…

Först måste vi acceptera det faktum att vi inte kan beräkna allting (ännu) och att vi fortsättningsvis måste gissa en hel del. Detta är också något jag idag upplever saknas. Vi gör sällan skillnad på vilka bedömningar som är underbyggda av data, och vilka som är rena gissningar. Ibland har jag i mina rapporter t.o.m gått så långt att jag helt valt att inte redovisa några bedömningar för sannolikhet om det finns för mycket osäkerhet i bedömningen. Hellre inget resultat än en fullständig gissning.

Balansen mellan kvalitativa och kvantitativa riskanalyser är inte alldeles enkel att pricka och något jag absolut inte påstår mig veta hur vi uppnår. Däremot har jag några tankar som jag förhoppningsvis kommer kunna delge i ett av de senare inläggen. Andra problem som jag stöter på väldigt ofta är att skillnaden mellan projektrisk, systemrisk och verksamhetsrisk inte är något man tydligen funderar över. Riskanalys som riskanalys verkar det heta. Andra svårigheter kan vara konsten att skriva välformulerade hotbeskrivningar, med aktörer, sårbarheter och motiv. Allting ska hänga ihop, vara vettigt, möjligt att agera på och ge oss insikt i hur ett rimligt säkerhetsskydd bör se ut för ett givet system.

Det är många intressanta frågeställningar som dyker upp i samband med riskanalyser och vi kommer sannolikt besöka en del av dessa allt eftersom vi tar oss igenom ”min” metod.
Jag hade tänkt mig något i stil med följande upplägg:

1. Intro (detta inlägg)
2. Min nuvarande approach till genomförandet av en riskanalys
3. I något mer detalj beskriva processen och de olika delstegen
4. Att ta fram hotbeskrivningar och identifiera sårbarheter
5. Attackträd och åtgärder
6. Summering och avslut

Om detta håller vågar jag inte svära på, men vi får se vart det bär hän. Kanske sammanslår jag några delar, eller så behöver jag fläska ut något speciellt område. Självklart vore det ju även roligt med lite deltagande från dig som läsare om du har några specifika frågor eller egna erfarenheter.

Vi ses i del två, som jag tänkt skriva inom en nära framtid.

// Christoffer Strömblad
Informationssäkerhetskonsult SAFESIDE SOLUTIONS AB