Riskhantering är en central del av informationssäkerhetsarbetet. Under lång tid har organisationer använt kvalitativa metoder för att identifiera, bedöma och prioritera risker. Genom att uppskatta sannolikhet och konsekvens på en skala och sammanställa resultatet i en riskmatris har verksamheter fått ett strukturerat sätt att skapa överblick och fatta beslut.

Den här typen av metoder har flera styrkor. De är relativt enkla att förstå, kräver begränsade resurser att genomföra och fungerar ofta väl som ett gemensamt språk mellan verksamhet, säkerhetsfunktion och ledning.

Samtidigt står många organisationer idag inför nya utmaningar. Cyberhoten utvecklas snabbt, verksamheter behöver förstå på ett bättre sätt systemisk risk och investeringar i säkerhet behöver ofta motiveras i konkurrens med andra affärsinitiativ. I den miljön väcks frågan om det finns sätt genomföra riskbedömningar för att skapa ännu bättre beslutsunderlag.

Är riskmatrisen utdaterad?

En vanlig utmaning med kvalitativa riskbedömningar är att resultatet bygger på mänskliga bedömningar. Även med tydliga riktlinjer kan olika personer tolka begrepp som ”hög sannolikhet” eller ”allvarlig konsekvens” på olika sätt. Analysen tenderar att bli fragmenterad snarare än heltäckande, och osäkerheten kring resultatet blir stort.

Detta kan leda till att scoring-metoder och riskmatriser kan göra mer skada än nytta i bedömningsprocessen och värsta fall fungera som ett slags ”analysis placebo”, där känslan av att ha gjort en ordentlig analys ersätter den faktiska nyttan av den.

Utmaningen blir särskilt tydlig när risker ska kommuniceras till ledning och styrelse. Medan säkerhetsspecialister ofta är vana vid att resonera kring risknivåer och säkerhetsåtgärder behöver den högsta verksamhetsledningen fatta beslut utifrån affärsmässiga prioriteringar, investeringar och resursfördelning.

I sådana sammanhang uppstår ofta behovet av att kunna beskriva risker på ett sätt som tydligare kopplar samman säkerhet och verksamhet.

Det finns beprövade alternativ

Kvantitativa riskmetoder är inget nytt. Inom försäkring, finans och säkerhetskritiska industrier som flyg och processindustri har man länge uttryckt risk i ekonomiska termer.

Det finns också etablerade ramverk som utgår från scenariobaserade metoder och skiftar fokus från enskilda tillgångar till realistiska attackkedjor, hur ett hot faktiskt kan materialisera sig snarare än en abstrakt bedömning av en specifik server eller ett system. Gemensamt för de mer moderna ansatserna är insikten att kvantifiering, även med ofullständig data, ger bättre beslutsunderlag än subjektiva kategorier. Genom att uttrycka risk som potentiell förlust eller exponering skapas ett underlag som kan vara lättare att integrera i verksamhetens övriga beslutsprocesser.

En riskmetod som kombinerar det bästa

Vi har utvecklat en scenariobaserad kvantitativ riskmetod som bygger på dessa insikter och som är utformad för att fungera i praktiken, inte bara i teorin. Metoden är strukturerad i tre nivåer som hänger ihop: strategisk, taktisk och operationell. Vår erfarenhet från många organisationer är att riskhantering blir som mest värdefull när den knyter samman flera nivåer i verksamheten.

På den strategiska nivån identifieras och analyseras risker som kan påverka organisationens mål och verksamhetsförmåga. Det handlar om scenarier som sträcker sig bortom enskilda system, exempelvis ett ransomware-angrepp som slår ut centrala verksamhetssystem, påverkar kundleveranser och utlöser tillsynsgranskning. Konsekvensen av dessa scenarier uttrycks i kronor och beräknas utifrån faktorer som driftstopp, återställningskostnader, viten och indirekta effekter som förtroendeförlust. Det är på den här nivån risken blir ett affärsspråk.

Den taktiska nivån konkretiserar hur ett strategiskt scenario faktiskt kan inträffa. Här använder vi MITRE ATT&CK som struktur för att identifiera realistiska angreppssätt och attackkedjor. Det gör analysen reproducerbar och förankrad i hur verkliga hotaktörer opererar, snarare än i generella antaganden. Från den taktiska analysen härleds sannolikheten, baserat på vilka säkerhetsbrister som faktiskt finns i miljön, inte på en subjektiv uppskattning.

På den operationella nivån bryts de taktiska riskerna ned till konkreta issues per tillgång. Om den taktiska risken är exempelvis ”MFA saknas” så blir den operationella nivån ”MFA saknas i M365”. Det är på den här nivån man ser exakt vad som behöver åtgärdas och var.

När dessa nivåer kopplas samman skapas en tydlig linje från verksamhetsrisk till konkreta säkerhetsåtgärder. Logiken i modellen är medveten: konsekvensen härleds uppifrån, från den strategiska nivån, eftersom taktiska risker ytterst är verksamhetsrisker med påverkan på hela organisationen. Sannolikheten byggs nerifrån, från den operationella och taktiska nivån, baserat på faktiska brister i miljön. Tillsammans ger de en Förväntad Årlig Förlust, ett kvantifierat mått i kronor per år.

Från färgkod till beslutsunderlag

Kvantifieringen görs med Monte Carlo-simulering, vilket innebär att vi inte räknar med ett enda punktvärde utan med ett sannolikhetsintervall för möjlig förlust. Det speglar den genuina osäkerhet som alltid finns i riskbedömningar, och det ger ett mycket mer ärligt och användbart underlag än en siffra som låtsas vara exakt.

Resultatet är en riskbild som säkerhetsledare kan ta med till högsta ledningen och styrelsen och prata om i affärstermer. Inte ”vi har tio höga risker”, utan ”det här scenariot har en förväntad årlig kostnad på 2,4 MSEK, och med den här åtgärden halverar vi den exponeringen.” Det är en fundamental skillnad i hur säkerhetsarbetet uppfattas och prioriteras på ledningsnivå.

Det är också, menar vi, ett mer ärligt sätt att arbeta. Vi vet att våra bedömningar innehåller osäkerhet. Frågan är om vi döljer den bakom en färgskala eller om vi är transparenta med den och använder den som ett verktyg för bättre beslut.

Men värdet stannar inte vid styrelserummet. Genom att den taktiska analysen är strukturerad kring MITRE ATT&CK:s attackkedjor får säkerhetsteamet också ett direkt verktyg för prioritering av åtgärder. I stället för att behandla säkerhetsbrister som en lika lång lista att beta av, kan man se var i en attackkedja en åtgärd ger mest effekt, vilka åtgärder som bryter flest möjliga angreppssätt och därmed minskar risken mest per investerad krona. Och eftersom metoden identifierar konkreta issues på operationell nivå, vet man exakt vilka sårbarheter som behöver åtgärdas och var.

Det är på detta sätt vi kopplar samman det strategiska beslutsfattandet med det operationella säkerhetsarbetet.