BEOlsen
|
|
Last ned mal for ROS her |
Hva er Risiko- og sårbarhetsanalyse (ROS)?Aristoteles, som levde i Athen i tiden 384 - 322 f.kr sa allerede da: "Det er sannsynlig at noe usannsynlig vil skje". Risiko- og sårbarhetsanalyse - forkortet ROS - er et verktøy eller metode som hjelper virksomheten med å kartlegge trusler mot virksomheten eller mot personellet. Hensikten er å forebygge for negative konsekvenser av disse trusler. En annen hensikt er å kartlegge "huller" i virksomheten med hensyn til kritisk kompetanse og behov for øvelser/trenging. På noen områder krever myndighetene at det gjennomføres ROS. Da gjerne innen områder hvor ansatte eller annet personell kan komme til fysisk skade. Blant annen krever arbeidstilsynet dokumentasjon av slik gjennomgang innen HMS internkontroll for arbeidsplassen. Innen informasjonssikkerhet stilles det ikke krav fra myndighetene om slik gjennomgang, men det kan være meget klokt å foreta en analyse for å kartlegge trusler og risiki, og derved treffe riktige tiltak. Det er ofte mye penger spart ved å gjennomføre ROS. Det er kritikere som mener at ROS-metoden er for krevende og til dels ubrukbar. De har rett - noen ganger. Det er opplagte svakheter med ROS, og avhengig av virksomhetens kompleksitet og størrelse kan analysen bli stor og uoversiktlig. Den vil heller ikke kunne avdekke alle forhold. Kunnskapen hos de som foretar analysen vil også være avgjørende. Svakhetene og hvordan de forebygges kommer vi tilbake til lenger ned. Uansett er ROS bedre enn ingen anslyse. Vi har valgt å gjøre denne beskrivelsen av ROS så generell som mulig, slik at den også kan benyttes i andre sammenhenger enn innen informassjonssikkerhet. Vi har også valgt å benytte en enkel form for ROS, slik at flere kan foreta analysen. Men for å kunne se dybden av utfordringer i en virksomhet, trenger man et trenet øye. Det kan derfor være en fordel å la utenforstående, som har trening i dette arbeid, analysere virksomheten. BegreperHendelseskjedeEn hendelse har ofte - om ikke alltid - et forløp og en serie med konsekvenser. Dette er beskrevet som en hendelseskjede. Vi har en årsakskjede, en hendelse, en konsekvenskjede, gjenoppretting og tilbake til normal drift. Dessverre hender det ofte at virksomheter ikke foretar ROS og er således svært sårbare ovenfor uønskede hendelser. Vi har nok hatt mange tilfeller av en alternativ utvikling, hvor vi ser resultatet i figuren til høyre. En slik utvikling ønsker vi ikke, og ROS har til hensikt å forebygge for slike utviklinger i hendelseskjeden. TrusselTrussel i denne sammenheng er ikke verbale uttrykk som har til hensikt å skremme eller skade personell, men et hvert forhold som har potensiale for uønsket hendelse. Truslene kan være mange og ha mange former. Noen er åpenbare, andre ikke fullt så åpenbare og heller skjult. Truslene kan være håndterbare og noen uhåndterbare. I figuren til høyre er dette illustrert gjennom en matrise. Som vi ser har vi et område med trusler som både er skjult og uhåndterlig. Dette er et farlig område. Vi ser også av matrisen at dette området kan gjøres betydelig mindre gjennom erfaring og trening i å gjennomføre ROS, samt trening og øvelser på håndtering av forskjellige hendelser. RisikoRisiko omtales som trusselens potensiale, og er definert som sannsynlighet multiplisert med konsekvens. Det vil si sannsynligheten for at en uønsket hendelse skal inntreffe, multiplisert med hvilken konsekvens denne har for virksomheten eller personell. Nå er ikke dette noen matematisk oppstilling, men en indikasjon på at risikoen økes betydelig når sannsynlighet eller konsekvens økes noe. RestrisikoMed Restrisiko menes en kalkulert risiko som gjenstår etter at virksomehten har gjennomført tiltak for å redusere risikoen. Figuren til høyre viser en opprinnelig risiko, som er av en viss størelse der ingen tiltak er gjennomført. Tiltakene som så gjennomføres har en viss verdi, og kanskje ikke fullt ut dekker alle forhold som risikoen utgjør. Vi har da fortsatt en liten risiko igjen. Denne kalles rest-risiko. SårbarhetI følge NOU 2000:24 defineres sårbarhet slik: «Uttrykk for de problemer et system får med å fungere når det utsettes for en uønsket hendelse, samt de problemer systemet får med å gjenoppta sin virksomhet etter at hendelsen har inntruffet» Forskjellen mellom Risiko og Sårbarhet ligger altså i hendelseskjeden. Risiko har fokus på trusselen, mens sårbarhet mere på konsekvensene for virksomheten. Hvordan utarbeide ROSDen som hadde kommet opp med et system for analyse uten bruk av mange skjemaer, ville sannsynligvis blitt tildelt en eller annen Nobel-pris. Realiteten er at det synes vanskelig å kombinere den nødvenige detaljgrad med få skjemaer. Det må være en balanse mellom detaljer og oversikt. Mange detaljer får avdekket flest mulig trulser, men med for mange detaljer mister vi oversikten. BEO Infosikkerhet har lagt seg på et 2-trinns risiko- og sårbarhetsanalyser, hvor første trinn har mottoet "Keep it simple" og skjemaene er redusert til et minimum for ikke å miste oversikten. Samtidig har de til hensikt å bidra til en relativt god analyse. Andre trinn er å gå dypere i kompleksiteten og sammenstille de ulike utfordringer, og finne en trusselscore. Dette er en sikkerhetsanalyse som er langt mer kompleks i både metodikk og framstilling, og blir ikke behandlet i denne presentasjonen. Under kapitlet "Svakheter med ROS" kan vi lese om hvorfor en slik dyptgående analyse ofte likevel er nødvendig. Vi fokuserer altså videre på første nivå. ProsessenDet å utarbeide en risiko- og sårbarhetsanalyse er en kontinuerlig prosess. Utfordringen er å komme i gang. Resten er enklere, men må utføres for at analysen skal ha en reell verdi. Vi kan si det slik at en utført analyse vil over tid tape sin aktualitet. Hele prosessen er inndelt i 6 faser.
Med planlegging menes at virksomheten setter av ressurser for å gjennomføre ROS. Gjerne etablere en arbeidsgruppe som rapporterer til virksomhetens ledelse. Arbeidsgruppen gjennomfører så selve analysen og foreslår tiltak. De neste grønne felt på figuren, (iverksette, evaluere og forbedre tiltak) vil ligge til linjeorganisasjonen å gjennomføre, og blir ikke gjennomgått her. PlanleggingDet viktigste element i planleggingen er en beslutning om at ROS skal gjennomføres. Mye er da gjort. Det må videre settes av ressurser til arbeidet, både økonomiske- og personellmessige ressurser. Det bør etableres en prosjektlignende struktur med styrings- og arbeidsgruppe. Arbeidet kan selvfølgelig gjøres av en person, men synnergieffekten mellom flere som jobber sammen innenfor temaet har vist seg å være meget verdifult. Prosjektorganisasjon anbefales på det sterkeste. Arbeidsgruppen bør bestå av medlemmer som har stor kompetanse innen virksomhetens prosesser, og som har erfaring med risiko- og sårbarhetstenkning. Så må virksomheten selv finne fram til en hensiktsmessig måte å organisere prosjektet på. Hvordan arbeidsgruppen skal jobbe og hvordan, og til hvem den skal rapportere. Analyse og tiltakDe neste trinn er fasene; Analyse og Foreslå tiltak. Det er erfaringsmessig her virksomhetene trenger mest hjelp, og vi belyser derfor disse fasene ekstra. I analysen er det presentert noen skjemaer, og alle disse skjemaene er samlet i ett dokument (word), og kan lastes ned her. Virksomhetskritiske faktorerDet første vi må gjøre i en ROS analyse, er å finne alle virksomhetskritiske faktorer. Vi må spørre oss: Hva må til for at virksomheten skal fungere? Her må vi ta i bruk det første skjemaet. Virksomhetskritiske faktorer vil variere fra virksomhet til virksomhet, men en faktor vil måtte gå igjen - personellet. Både med hensyn til tilgjengelighet og kompetanse. Produktet Det første som bør analyseres er produktet. Ressursene Deretter går vi inn på ressursene. Hva trengs av ressurser for å kunne ende opp med et produkt? Virksomhetens egne prosesser Så analyserer vi selve virksomheten, og finner viktige prosesser. Rutiner må analyseres. Alle HMS-forhold kommer inn under denne hovedprosessen. Markedet Til slutt analyseres markedet. Ikke en markedsanalyse med hensyn til produktet, men markedet sett opp mot sårbarheter. Her er en kort liste som kan være til hjelp for å komme i gang med å definere de spesifikke faktorer for den enkelte virksomhet:
Det må understrekes at listen over kun er ment som starthjelp. De som skal utarbeide en ROS analyse må selv vurdere hvilke virksomhetskritiske faktorer som gjelder den deres virksomhet. Når vi så har beskrevet virksomhetskritiske faktorer, lister vi opp potensielle og typiske trusler mot hver av disse. Så er det tid for å gå videre. Beskriv truslerVi tar nå i bruk det andre skjemaet, og fokus er nå på truslene. Hvilke trusler kan være aktuelle mot de enkelte virksomhetskritiske faktorer? Det kan være flere trusler for hver faktor. Det kan også være at noen av de virksomhetskritiske faktorene ikke har noen trusler. I begge tifeller er det greit og konstatere dette. Det kan også være at samme trussel er gjeldene mot flere av de virksomhetskritiske faktorene. Trusler som er reelle først etter en hendelse har oppstått er også vikige, - trusler som virker inn på konsekvenskjeden. Forskjellen på dette skjema og det forrige, er at det forrige hadde fokus på virksomhetkritiske faktorer, og truslene ble listet opp for disse. Her er det den enkelte trussel som skal vurderes. Hver trussel føres inn i skjemaet, og gis et referansenr i kolonnen "Ref". Hensikten med referansenr er å lettere kunne identifisere trusselen gjennom prosessen. Ofte er det i denne fasen de store utfordringene kommer. Det er ikke lett å se hvilke trusler som kan være knyttet til de forskjellige faktorene. Her kan det være en fordel å benytte seg av personer som er trent til å se eller analysere seg fram til reelle trusler. Beskriv årsaksforholdetHva er så årsaken til at det eksisterer en trussel? Årsakene kan jo være mange, fra utilsiktede hendelser som bare oppstår, til en villet handling fra en aktør. Beskriv årsakene så godt som mulig. Beskriv også eventuelle aktører som kan stå bak trusselen i dette feltet. Ved å analysere årsakene, vil mange av tiltakene som senere skal beskrives, ramle ut av seg selv. Beskriv konsekvensen dersom hendelsen oppstårHva vil skje dersom uønsket hendelse oppstår som følge av at trusselen blir realisert? Beskriv så godt som mulig hele konsekvenskjeden. Dersom den blir beskrevet godt nok, vil vi kunne avdekke nye trusler mot konsekvenskjeden, og tiltak vil framstå klarere. Kan en konsekvens være av interesse for media? Hvordan skal man da håndere disse? Beskriv hvem eller hva som vil være berørtHvilket personell? Hvilke systemer? Hvilken organisatorisk enhet i virksomheten vil bli berørt. Blir samarbeidspartnere berørt? Er det noen andre eksterne? En god beskrivelse her vil kunne utløse flere nødvendige tiltak som i utgangspunktet ikke ville vært åpenbare. For eks. eventuell varsling av pårørende ol. Beregn risikoen ut fra sannsynlighet og konsekvensHver trussel vurderes ut fra hvor sannsynlig det er for at en hendelse utløses. Graderingen på sannsynlighet er:
På samme måte graderes alvorlighetsgraden av konsekvensene:
Hva som skal til for at konsekvensen er "alvorlig", og ikke "betydelig" må defineres av arbeidsgruppen i hver enkelt virksomhet. Det vil si at kriterier for både sannsynlighet og for konsekvens må defineres. Når vi så har vurdert begge forhold, vil vi i følge matrisen få et tall. Dette tallet kan brukes som prioritet på tiltakene. For å ta et eksmpel: En trussel vurderes til at det er sannsynlig at en hendelse vil oppstå, og konsekvensen er mindre alvorlig. Vi vil da ut fra matrisen få verdien 14, som kan representere hvilken prioritet trusselen gis. Vi ser at 1-6 er svært alvorlige trusler, hvor det må iverksettes tiltak raskt. 7-15 er også alvorlige trusler, som må vies stor oppmerksomhet, men håndteres etter de alvorligste. De øvrige er selvfølgelig mindre viktige og kan håndteres deretter. Her er det viktig at de som gjør vurderingene har god nok kunnskap om trusler og konsekvenser av hendelser, for å kunne gi riktig vurdering og prioritet. Det bør absolutt benyttes personell som har trening i slikt arbeid. Beskriv tiltak som kan redusere risikoenDersom vi har vært nøye med beskrivelsene av trusler, aktører, konsekvenser, vil flere tiltak ha ramlet ut av seg selv som en konsekvens av arbeidet som til nå er gjort. Videre er det viktig å foreta en grundig analyse av effektive tiltak som både kan være mer hensiktsmessig og mer økonomiske. Vurder om tiltakene har sin virkning i årsakskjeden og således hindre den uønskede hendelse, eller om den har sin virkning i konsekvenskjeden og redusere uheldige konsekvenser. Se skissen over. Vurder og beskriv også hvilken restrisiko som gjenstar etter at tiltaket er iverksatt. Lag en handlingsplanSå er det på tide å legge en plan for hvordan vi implementere tiltakene våre. Dessverre krever dette et nytt skjema - en handlingsplan. Handlingsplanen er bygd opp over truslene, og vi fører inn referansenr og trusselen, samt den prioritet trusselen fikk fra trusselvurdeingen. Så listes tiltakene opp. Det kan være flere tiltak for hver trussel. For hvert av tiltakene beskrives også en arbeidsprosess dersom tiltaket er av en slik karakter at det er ressurskrevende å gjennomføre. Beregn hvilke kostnader det vil ha å gjennomføre tiltakene. Kostnadene vil være knyttet opp mot ressursbruk og anskaffelser og drift. Ut fra hvilken prioritet som er gitt fra trusselmatrisen, setter vi opp en tidsfrist for når tiltaket skal være utført. Som alt annet må det utpekes en som er ansvarlig for at tiltaket blir gjennomført. Dersom det er nødvendig, bør det gjennomføres jevnlige koordinerings- og statusmøter for å følge opp gjennomføringen. KonklusjonTil slutt i vurderingen bør det gis en overordnet konklusjon av hvordan status for virksomheten er. Svakheter ved ROS og hvordan de håndteresROS - slik den normalt gjennomføres - har minst fire store svakheter, avhengig av hvordan de grupperes. Den første er menneskelig. ROS kan også gjøres for komplisert. Bruk av for mange skjemaer, slik at man mister oversikten, fører til at behandling av viktige trusler og utfordringer oversees. Er virksomheten i tillegg kompleks, med mange objekter, er selve gjennomgangen og prosessen i analysen utfordrende, tidkrevende og kostbar. Så er det spørsmål om kunnskapen om trussler og konsekvenser er god nok hos personellet som utfører analysen. Feil vurdering her vil føre til feil prioritering av tiltakene. Trusler og tiltak som viser seg å være unødvendige kan bli iverksatt, mens tiltak som absolutt burde blitt gjennomført ikke blir det. En annen utfordring med ROS er at den blir et relativt statisk dokument. Trusler kan forsvinne og nye kan dukke opp avhengig av ytre og indre faktorer, endringer i virksomhetskritiske faktorer osv. Vi kaller det enkelt og samlende for endringer i forutsetninger. En standard ROS tar ikke opp slike endringer. Dette forverres ytterligere da ROS heller ikke behandler interaksjonen mellom forskjellige typer trusler - hvordan de virker inne på hverandre. Vi kan bruke et eksempel fra bilkjøring.
Slik kan man liste opp den ene trusselen etter den andre og vurdere disse. Men hva om flere eller alle disse kombineres? Da blir plutselig trusselbildet et helt annet. Dette er en svært forenklet og åpenbar framstilling, men den setter søkelys på et alvorlig problem med ROS. Realiteten er vesentlig mer kompleks, innfløkt og uoversiktelig enn eksemplet. Et annet eksempel på hvordan situasjoner og hendelser virker inn på hverandre: På tilsvarende måte kan utenforliggende forhold påvirke virksomhetens lokale vurdering av trusler. Hvordan håndtere svakheteneI hovedsak to områder må styrkes for å møte ROSs svakheter. Kompetanse til å gjennomføre ROS må styrkes. Dette for å redusere usikkerhet, samt å se sammenhenger mellom forskjellige trusler og kunne gi riktig trusselvurdering. Har virksomheten kompetansen selv, er det fint. Hvis ikke må den hentes utenfra. En viktig grunn til at kompetansen bør hentes utenfra, er at virksomhetens ansatte ofte er ”blinde” for egne sikkerhetsmessige utfordringer. Eksterne og nyansatte kan se utfordringer i nytt lys. Det andre området er virksomhetens vilje til jevnlig å revidere analysen. Det er riktig nok første gang som er det tyngste arbeidet, men faren ligger i at det blir tatt for lett på analysen de påfølgende ganger. Utfordringen er da at viktige endringer i forutsetningene ikke blir fanget opp og feil prioritering og investering følger som et resultat av dette. En nivå 2-analyse vil dekke opp for mange av de påpekte svakheter med ROS-modellen, da den både håndterer sammenstilling av trussler, endringer i forutsetninger og gir en mer nyansert risikovurdering. BEO-informasjonssikkerhet kjører kurs i temaet. Både generelle, og spesielle innen informasjonssikkereht. Les mer her |
(c) Birger E Olsen 2014 |