Så hanterar du cyberrisker

Det har talats mycket om cyberrisker de senaste åren. Företag inom flera olika branscher ordnar seminarier och föreläsningar varje vecka, och det finns arméer av konsulter som står redo att bistå på olika sätt. Frågan är: Finns det en enkel och tydlig strategi för hur man ska hantera cyberrisker? Låt oss göra ett försök att ta ner cyberriskerna på jorden.

Vad innebär cyberrisker?

Ur ett riskhanteringsperspektiv är cyberrisker inte nödvändigtvis alldeles annorlunda från de klassiska risker som företag har hanterat under lång tid. Ofta är cyber en faktor som påverkar befintliga risker, t.ex. risk för verksamhetsavbrott eller produktansvar, vilka båda är väl kända riskklasser. Teknisk utveckling och förändrad lagstiftning runt informationshantering öppnar för nya risker, men metodiken kring hur vi hanterar riskerna behöver inte nödvändigtvis ändras för det. Man kan dela upp metodiken i tre delar:

• Definiera tillgångarna
• Kartlägg riskerna
• Sist men inte minst: Definiera, kvantifiera och prioritera

Definiera tillgångarna

All riskhantering handlar om att skydda tillgångar, och för cyberrisker måste vi då börja med att definiera de tillgångar som kan hotas. Innan man med någon mening kan börja identifiera ett företags digitala tillgångar måste vi förstå den bransch som företaget är verksamt i, och de jurisdiktioner som företaget har exponering mot. En tillverkande industri i Skandinavien har inte oväntat en annan riskprofil än en internationell bank, ett hotellföretag eller en advokatbyrå. Dessutom har varje företag sin egen risktolerans att ta hänsyn till – det som kan vara ett hot mot hela verksamheten för ett mindre företag kan vara en knappt märkbar händelse för ett större.

När detta konstaterats är det dags att definiera de tillgångar som hotas av de cyberrisker man vill analysera. Detta kan handla om kundregister, försäljningshistorik och kreditkortsdata, men också om operationella tillgångar som system som driver maskinparker, s.k. ICS-system. Det kan också handla om fysiska tillgångar som kan påverkas av cyberrisker, exempelvis maskinparker eller färdigställda produkter. I detta ingår också att klassificera de risker man oroar sig för – är ett verksamhetsavbrott en stor risk, eller är det ett lätthanterligt problem? Finns det risk för varumärkespåverkan, eller är det endast en teoretisk risk? Alla verksamheter har sina egna prioriteringar, och all klassificering måste ske utifrån det enskilda företagets behov.

Kartlägg riskerna

Efter att tillgångarna och riskerna väl definierats är det dags för den klassiska övningen: Rangordna varje risk utifrån sannolikhet och konsekvens – hur ser en dålig dag ut för företaget? Vad kan egentligen hända?

Först när detta skett på ett metodiskt och strukturerat sätt kan man börja diskutera val av riskhanteringsmetod. Ska man helt undvika vissa scenarier, och därmed gå miste om affärsmöjligheter? Kan man förebygga risken på ett kostnadseffektivt vis, och på så vis minska risken till en mer acceptabel nivå? Vissa risker kan transfereras till försäkringar och andra finansiella instrument, och vissa risker får man helt enkelt leva med.

Definiera, kvantifiera, prioritera

Cyberrisker är ett faktum, och det enda vi kan vara säkra på är att de kommer att förändras utan att försvinna. Det finns ingen anledning att hantera dem på annat vis än hur vi hanterar risker i stort – definiera, kvantifiera och prioritera. Saken är varken enklare eller svårare än så.

Skrivet av Kristoffer Haleen, Sales Executive & Cyber Practice Leader på Willis Towers Watson

För ytterligare information, vänligen kontakta:

Kristoffer Haleen
Willis Towers Watson
Tel: 08-546 359 65
Mail: kristoffer.haleen@willistowerswatson.com