18. december 2008, 08:00

1.
Læg ud med at kortlægge, hvilke it-systemer virksomheden faktisk anvender - økonomi-, lager-, mail- eller crm-systemer. Herudfra udpeges de systemer, som er vigtigst for forretningens fortsatte drift.

2.
Foretag på en skala fra et til tre en konsekvensvurdering - altså hvor ondt det vil gøre på virksomheden, hvis systemet bryder ned, eller eksempelvis hvis fortroligheden af data i systemet bliver brudt, eller informationerne i systemet ikke længere er pålidelige på grund af angreb.

3.
Derefter går øvelsen ud på at vurdere sandsynligheden for, at ovenstående sker – altså hvor sårbar systemerne er i forhold til, at der kan ske angreb på dem. Sandsynligheden vurderes ligeledes på en skala fra et til tre.

4.
Kosekvensvurderingen og sandsynlighedsvurderingen ganges herefter med hinanden. Har konsekvenserne fået et tre-tal, og det samme er tilfældet for sandsynligheden for, at hændelsen sker, så lander man altså på et ni-tal, som i denne målestok er et udtryk for en høj risiko.

5.
Ud fra risikovurderingen, der altså kan foretages ud fra formlen Risiko = Konsekvens X Sandsynlighed, kan den enkelte virksomhed foretage en prioritering af, hvor investeringerne i it-sikkerhed skal foretages.

Kilde: Lars Neupart, direktør i it-sikkerheds-firmaet Neupart.