Risikohåndtering: De 4 strategier til risikohåndtering du skal kende.
Der findes fire strategier til at håndtere en risiko. Når en virksomhed har identificeret og vurderet en risiko, kan den vælge at:
.webp)
Jacob Høedt Larsen, PR & PA hos Wired Relations, er værten for podcasten Sustainable Compliance og en ekspert i GRC-workflows, understøttet af software, opbygning af et GRC-program, ledelse af et GRC-team og sikring af ledelsens opbakning.
Læs mere fra forfatteren- Undgå risikoen
- Reducere risikoen
- Overføre risikoen eller
- Acceptere risikoen.
Det kan du læse mere om i denne artikel.
1 - Undgå risikoen
I den situation forsøger man helt at undgå risikoen. Det kan en organisation eksempelvis gøre ved helt at undlade at gøre det, der medfører risikoen.
Et eksempel fra databeskyttelse: I forbindelse med ansættelser indsamler en virksomhed oplysninger om den nye ansattes helbred og tidligere straffe. Det udgør en høj risiko for medarbejderne, hvis oplysningerne falder i forkerte hænder. Virksomheden kan undgå risikoen ved helt at undlade at indsamle oplysningerne.
{{factbox-dark}}
2 - Reducere risikoen
Hvis man ikke kan undgå risikoen, kan man måske reducere den. Risiko er et produkt af konsekvensen af at noget sker og sandsynligheden for, at det vil ske. Derfor kan man reducere risikoen ved enten at sænke sandsynligheden for eksempelvis et hackerangreb, eller man kan sørge for, at konsekvensen bliver lavere.
Mange af de foranstaltninger, man træffer i forbindelse med sin IT-sikkerhed, er med til at reducere sandsynligheden. Det kan eksempelvis være firewalls, adgangskontrol og træning af medarbejdere i at genkende phishing-mails.
Andre foranstaltninger retter sig derimod mod at reducere konsekvensen af en hændelse. En god back-up-strategi kan eksempelvis sikre, at det er lettere at genetablere sin forretning, hvis man bliver udsat for et ransomware-angreb.
3 - Overføre risikoen
Ofte vil det også være muligt at overføre risikoen til andre virksomheder, som bedre kan håndtere den. Det kan eksempelvis være, at man outsourcer dele af sin databehandling til en virksomhed, som er dygtigere til at håndtere IT-sikkerhed. En anden mulighed er forsikring.
{{factbox-light}}
4 - Acceptere risikoen
I mange situationer vælger virksomheder og organisationer at acceptere risikoen. Det kan der være gode grunde til.
- Risikoen er lav,
- Det er ikke muligt at undgå, reducere eller overføre risikoen yderligere eller,
- Det vil være for omkostningstungt at reducere risikoen mere, end man har gjort.
Det er vigtigt, at organisationer har en god proces for, hvordan og hvem, der accepterer risikoen. I mange virksomheder har man en niveaudeling. Mindre risici (eksempelvis grønne og gule i en risikomatrix) kan accepteres af en risikoejer eller informationssikkerhedsspecialist.
Højere risici kan kun accepteres af ledelsen. Læs i øvrigt mere om, hvordan ledelsen kan og bør være inddraget i informationssikkerhedsarbejdet.
Ressourcer om risikostyring
Risikostyring er en helt central del af arbejdet med informationssikkerhed og databeskyttelse. Her er nogle ressourcer, du måske har brug for:
- Risikostyring: En guide til dig, der arbejder med informationssikkerhed
- Hvad holder din leder vågen om natten? Derfor er det nøglen til risikostyring
- Risikovurdér som et team: Det fælles sprog er vigtigt
Risikohåndteringens plads i risikostyringen
Risikostyringen består af fire elementer:
- Identifikation af risici
- Vurdering af risici - som du kan læse mere om i vores guide til risikostyring
- Håndtering af risici og
- Monitorering af risici
Risici forsvinder ikke af sig selv – lad os hjælpe
Få overblik over risici – og styr på dokumentation, opfølgning og ansvar ét sted. Se hvordan vores platform kan hjælpe dig med at operationalisere dine risikostrategier.
