Vi bruger cookies og andre sporingsteknologier til at forbedre browsing-oplevelsen på vores hjemmeside, vise personaliseret indhold og målrettede annoncer, analysere trafikken på siden, og forstå hvor vores besøgende kommer fra. Hvis du vil vide mere, kan du læse vores cookie-politik. Du kan desuden læse vores privatlivspolitik, hvis du ønsker mere information. Ved at klikke ’accepter og luk’ giver du samtykke til, at vi bruger cookies og andre sporingsteknologier.
Hjem > Services > Advisory > Cybersikkerhed > IT Risikoanalyse
  • IT Risikoanalyse

    Ved du, hvilke risici og farer, din organisation står over for, når det gælder cybersikkerhed og IT-sikkerhed?

    Kontakt os

IT Risikoanalyse - indsigt i virksomhedens cybersikkerhed

Langt de fleste virksomheder er bekendte med en risikoanalyse, men det er de færreste, som mestrer at analysere risikomomenter forbundet med IT og cyber. Gennemgang og løbende optimering af IT-politikker, cybersikkerhedsberedskab og indsigt i, hvor de mest sandsynlige angreb kan komme fra, vil for mange være uvante opgaver.

Risikoanalyse er et godt valg, som kan have afgørende indvirkning på evnen til realistisk at bestemme mulige bivirkninger og sandsynlige omfang af tab, hvis en bestemt begivenhed finder sted. En indsigt, der er fundamentet for effektiv udvikling og implementering af IT-sikkerhedspolitikker og forsvar mod cyberangreb.

Vores cybersikkerhedsafdeling har stor erfaring med at analysere de risici, som virksomheder og organisationer står over for i forbindelse med cybersikkerhed og IT-sikkerhed. Vi tilbyder services, som kan hjælpe organisationer med at skabe indsigt i det risiko-landskab, de står over for. Via en IT risikoanalyse foretaget i fællesskab med os kan virksomheder og organisationer styrke forsvar og forberedelse, når det gælder beskyttelse af essentielle data, informationer og systemer.

Kontakt os for at høre mere og for en uformel snak om, hvad vores cybersikkerhedsafdeling kan gøre for netop din organisation.

 

Det simple regnestykke

Vores eksperters erfaring er, at de følgende punkter er gældende for alle typer af organisationer. De illustrerer, hvorfor der bør foretages grundig risikoanalyse i forbindelse med IT-sikkerhed og cybersikkerhed:

  • I samtlige organisationer er produktionen og brugen af informationer og data forbundet med risici. Det samme gælder brug af computere, mobile enheder eller Internet of Things-systemer. 
  • Data, informationer og IT-systemer spiller en stadig større rolle, hvorfor beskyttelsen af dem er vigtigere end nogensinde. En opgave, som må tage udgangspunkt i, hvilke trusler og risici der kan være forbundet med det.
  • Styring af risici kan opnås via en systematisk tilgang, der bygger på analyse, ekspertise, erfaring og indsigt i organisations situation, struktur, kultur og det generelle trusselslandskab. En grundig risikoanalyse er nødvendig som fundamentet for risikostyring.
  • Risikostyring handler om at gøre en organisations ledelse og medarbejdere i stand til bedst muligt at prioritere de tilgængelige ressourcer i forhold til, hvor de gør mest gavn. Det gælder også for cybersikkerhed og IT-sikkerhed.

Skal vi teste din virksomhed?

 

Skab forståelse for cybersikkerhed i hele organisationen

For at handle på den mest hensigtsmæssige måde ud fra din risikoanalyse skal den omsættes til en ’spiselig form’ til rette vedkomne. Samtidig bør en IT risikoanalyse lede til klare, forståelige anbefalinger over, hvilke tiltag der bør tages i forhold til strategien for IT-sikkerhed og cybersikkerhed. Nogle gange er der en mangel på den type medarbejdere eller ekspertise – eller på deres tid til at håndtere den type opgaver i en travl hverdag - og det er blandt andet her, at vores eksperters cybersikkerhedserfaring kan være en stor hjælp.

Kontakt vores cybersikkerheds-eksperter for at høre mere om vores tilgang til en IT risikoanalyse, og hvordan vi kan hjælpe netop din organisation med de behov, du står med her og nu.

 

Kombinér en IT Risikoanalyse og et opstartstjek

Grundlaget for en grundig, tilbundsgående IT risikoanalyse kræver indsigt i, hvor og hvordan virksomheden eller organisationen kan angribes. Vores cybersikkerhedsafdeling tilbyder et unikt opstartstjek, som leverer den indsigt.

Opstartstjekket inkluderer udarbejdelsen af tre rapporter, der ikke bare er et kompliment til en risikoanalyse, men indeholder prioriterede lister over fundne svagheder og anbefalinger til, hvordan de kan udbedres.

Kontakt os for at høre mere om et opstartstjek.

 

Hvorfor outsource en IT risikoanalyse?

Håndtering af IT risikoanalysen som en intern opgave rummer i sig selv en række unikke risici. Fx en indbygget risiko for, at organisationen overser en række af de aspekter, som er centrale for en effektiv og tilbundsgående IT risikoanalyse.

Antagelsen kan eksempelvis være, at der er højere risiko forbundet med trådløse netværk, og at Wi-Fi test bør vægtes højere end firewall-test eller applikations-test. Det kan dreje sig om manglende viden om de seneste udviklinger og metoder inden for cyberkriminalitet eller indgående viden om nye love og regler, som har indvirkning på compliance-krav. Organisationen vil med andre ord altid have blinde vinkler, som ikke kan undgås, med mindre udefrakommende eksperter gør opmærksom på det.

Vores konsulenter har desuden evnen til at trække på erfaring og analyser af jeres specifikke sektor, som kommer fra opgaver udført for lignende organisationer. 

Hele arbejdet med IT risikoanalyse er et samarbejde mellem vores cybersikkerhedsafdeling og beslutningstagere i din organisation. Målet er at definere de mest kritiske områder, hvordan de kan beskyttes, og hvordan man minimerer risikoen for blandt andet cyberangreb.

Et opstartstjek er et glimrende supplement til en IT risikoanalyse og kan give et bedre grundlag for faktuel vurdering af, hvor risici eksisterer. Kontakt os for at høre nærmere om vores unikke opstartstjek.

Kontakt os

 

Sådan foregår vores risikoanalyse

Følgende er en kort gennemgang af den proces, som BDO Cybersikkerhed gennemgår med din organisation i forbindelse med en IT risikoanalyse.

1. Find de sandsynlige mål

Det første skridt er at analysere de mål, der er mest oplagte for cyberkriminelle og hackere. Disse mål er ofte de områder, der er unikke for netop din organisation. 

Nogle angreb på IT-systemer sker dog uden et specifikt mål for øje. Værdien af informationen kan variere fra angriber til angriber. Nogle vil gå efter informationer om Intellectual Property (IP).

Andre går efter at skade dit brand og business. Her er website-systemer som Content Management Systems (CMS) og driftsoplysninger ofte målet. For cyberkriminelle vil det som oftest være finansielle oplysninger og persondata, der er målet.

De mange mulige mål er en af grundene til, at det er vigtigt, at trusselsanalysen og den tilhørende risikoanalyse er et samarbejde. 

2. Hvem har adgangen?

Det næste skridt er at kigge på, hvem der har adgang til de informationer, som muligvis vil være målet. Det er samtidig et godt tidspunkt at analysere, hvor de pågældende data og informationer er lagret.

IP vil måske findes på en filserver på hovednetværket, men det kan vise sig, at der findes backups til en række andre systemer. Hvis informationen tilgås via en webbaseret applikation, kan det være muligt, at brugeren beder systemet om at eksportere data til deres personlige desktop, og det opretter endnu en kopi. Cloud-systemer skaber deres egne udfordringer, for her er data lagret på servere, der ikke er under din direkte kontrol.

Når det kommer til adgang til data, handler det som udgangspunkt om at sikre, at så få som muligt har adgang til dem. Det gælder både for eksterne og interne angreb.

3. Hvem kommer angrebene fra?

Hver gruppe af mulige fjendtligsindede angribere har hver deres motivation og tekniske kunnen, de vil bruge i forbindelse med angreb. Det samme gælder for den type mål, de vil have, og hvilke strategier de anvender for at tiltvinge sig adgang til din organisation.

Hovedgrupperne er i dag cyberkriminelle, hackere, hacktivister og statsdrevne/-finansierede grupper. Hver gruppe kan underopdeles ud fra motivation, evner, foretrukne angrebsmetoder og sandsynlige mål.

  • Motivation: Hvad er grunden til, at de går efter din organisation? 
  • Evner: Hvad er de sandsynlige angriberes tekniske evner?
  • Foretrukne angrebsmetoder: Nogle angribere vil foretrække at anvende Distributed Denial of Service (DDoS) med det formål at tvinge en virksomheds hjemmeside i knæ. Andre vil bruge phishing og social engineering til at få adgang til kritiske informationer og passwords. En tredje gruppe foretrækker at anvende ramsomware og malware.
  • De sandsynlige mål: Hvis din forretning er bygget op om unikke løsninger og services, vil IP ofte være et oplagt mål. For andre typer virksomheder og organisationer handler angreb om at få adgang til personfølsomme og/eller finansielle oplysninger.

4. Hvad kan et angreb betyde for dig?

En del af risikoanalysen består i at inddele de mulige angreb ud fra deres potentielle indvirkning på driften af din organisation.

Mens et DDoS-angreb kan være problematisk for alle, så vil det have langt større indvirkning på driften af en e-handelsvirksomhed, end det som regel er tilfældet for en produktionsvirksomhed. Omvendt vil produktionsvirksomheden oftere lægge inde med unikke IP-data, som et hackerangreb på servere kan stjæle.

Analysen af mulige angrebstyper og deres potentielle indvirkning bør resultere i en prioriteret liste af risici, der kan bruges i forbindelse med opgaver som udarbejdelse/opdatering af sikkerhedspolitik, awareness og træning for medarbejdere, mm.

Vores cybersikkerheds-afdeling gennemgår i samarbejde med din organisation alle ovenstående punkter – og meget mere – i forbindelse med en IT risikoanalyse. Kontakt os for en uformel snak om, hvordan vi kan hjælpe med at optimere din organisations sikkerhed på IT- og cyberområderne.

Vil du vide mere?

 

Hvad er din virksomheds nuværende situation?

De foregående skridt handler om at definere organisationens vitale aktiver og udforme en prioriteret liste over trusselaktørerne, deres motivation og evner. Det næste skridt handler om at analysere de kontrol- og sikkerhedssystemer, der allerede findes i din organisation. Det gælder eksempelvis IT sikkerhed, informationssikkerhed m.m.

Ved at sammenholde disse systemer med de sandsynlige trusselsaktørers evner og metoder, kan sårbarheder i organisationens processer, politikker og systemer identificeres.

BDO Cybersikkerhed hjælper i forbindelse med en IT risikoanalyse jeres organisation med at skabe fundamentet for optimal investering i opgraderinger af hele sikkerhedsområdet. Både nu og fremadrettet. Kontakt os for at høre nærmere.

 

IT Risikoanalyse er en kontinuerlig proces

Det er værd at bemærke, at risikovurderinger ikke er engangsaktiviteter, der giver et permanent og endeligt beslutningsgrundlag for ledere. Trusselslandskabet for virksomheder og organisationer ændrer sig konstant. Vi anbefaler, at organisationer løbende foretager evalueringer og risikoanalyser.

Det kan siges, at en central del af IT ​​risikoanalysen er en vurdering af, hvor ofte den bør finde sted.

 

Kontakt os for at høre mere om hvordan vi kan sikre din virksomhed

Sikkerhedskode:
Retype the numbers below:
 Security code

 

Næste:

Kontakt os

Mikkel Jon Larssen, Partner, chef for Risk Assurance
Mikkel Jon Larssen
Partner, chef for Risk Assurance
København
Relaterede publikationer
Cybersikkerhed 2020
Publikation:
Cybersikkerhed i 2020
Se alle publikationer