Evidensbaseret risikostyring af it-området


Forebyg de farligste it-risici med ACI

Vi lader os ofte styre af de mest skræmmende risici mens vi overser de farligste.
Hvis du kan genkende det i jeres it-risikostyring, kan du være én af dem, der lige nu er sikret for lidt, for meget eller de forkerte steder.

Hos ACI A/S er vi et sammenspillet team af certificerede konsulenter der analyserer risici ud fra evidensbaserede og kvantitative modeller. Det giver de bedste prognoser og dermed det bedste beslutningsgrundlag.

Vi har arbejdet med risikostyring siden 2010 og gennem løbende og fortrolig dialog, har vi opbygget tætte og langvarige relationer med vores kunder. Vi samarbejder om reduktion af risiko til et kendt og accepteret niveau.

Besøg vores 2-minutters-risikoreflektion og se om et samarbejde med ACI er relevant for jer.

 

Er alle risici med?

Det er i sig selv en risiko hvis fokus er for snævert i risikovurderingen. Du prioriterer måske mange ressourcer på at forhindre den helt store men sjældne cyberhændelse, mens du overser en risiko med hyppige men mindre tab. Det som er det mest skræmmende er ikke altid det farligste.

Kunsten er, at nedbringe de største risici på en sådan måde, at man får mest risikoreduktion per brugt krone. Det kræver en risikovurdering, der inkluderer og behandler alle risici ensartet.

En risikovurdering fra ACI medtager risikoscenarier fra følgende områder og forhold:

  • trusler fra cyberkriminalitet
  • en projektmodel, der ikke fungerer, så projekter forsinkes og fordyres
  • mangelfulde processer for ændringshåndtering, der medfører driftsforstyrrelser
  • mangelfuld test af ny eller ændret software, der medfører fejl i software og data
  • non-compliance i forhold til lovgivning, som medfører ridser i omdømmet
  • menneskelige fejl der medfører dårlig datakvalitet eller informationslæk
  • tekniske fejl som medfører driftsforstyrrelser
  • en rodet it-arkitektur som besværliggør integration
  • nøglepersoner, som forlader organisationen med deres viden
  • dårlig licensstyring der betyder omkostninger til irrelevant software
  • ineffektiv it-service hvor brugerens problemer ikke løses hurtigt nok
  • m.fl.

Undgå at spilde tid og penge på it-risikostyring, der ikke virker

Når du evaluerer jeres nuværende it-risikostyring, har du så stillet dig selv spørgsmålene:

  • Hvordan ved jeg, at det virker?
  • Hvis det ikke virker, ville jeg så vide det?
  • Hvis det ikke virker, hvad ville konsekvensen så være?

Risikostyring er en kendt disciplin indenfor økonomi, forsikring, byggeri m.fl. Derfra ved vi, at der er modeller, der ikke virker; metoder, som virker bedre end andre; og metoder, som virker hver gang.

Er du sikker på, at din risikostyring ligger i den sidste kategori?

ACI Risk Management er baseret på statistik, evidens og kvantitative data, og vi ved, at metoden virker.

Vi kobler data fra jeres tidligere hændelser med det aktuelle trusselsbillede og jeres sikkerhedsniveau. Du får et samlet overblik over de risici, I står over for. Det giver et objektivt svar på, hvilke risici det kan betale sig at løbe, og hvilke I skal reducere.

Du har mere data end du tror

Argumentet for ikke at anvende kvantitative metoder i it-risikovurderinger er ofte mangel på data. En organisation har imidlertid mere data end man tror, som kan reducere usikkerheden i en it-risikovurdering. Selv få målinger fra organisationens it-miljø sammenholdt med det vi ved om trusselsbilledet kan bringe os nærmere en prognose for eksempelvis en alvorlig cyberhændelse med tab af sensitiv data.

ACI bruger de data der er til rådighed og reducerer dermed usikkerheden så meget som muligt. Vi hjælper herefter organisationen til at opsamle risikodata til yderligere reduktion af usikkerheden i efterfølgende risikovurderinger. Start hvor du er og foretag kontinuerlig forbedring.

De 6 skridt mod et samlet overblik over jeres it-risici

En risikovurdering fra ACI består af 6 skridt

  1. Rammesætning og forståelse af jeres organisation
  2. Identifikation af risici
  3. Forståelse af nuværende sikkerhedsniveau
  4. Beregning af risikoniveau ved hjælp af simuleringer
  5. Udarbejdelse af handlingsplan for nedbringelse af risiko
  6. Præsentation og rådgivning

Et projekt - flere resultater

En risikovurdering fra ACI er mere end en rapport med et øjebliksbillede. Du opnår blandt andet følgende resultater:

  • Kortlægning af det nuværende trusselsbillede
  • Struktureret gennemgang af tidligere hændelser og deres tab
  • Beskrivelse af organisationens risikoappetit
  • Beskrivelse af det nuværende sikkerhedsniveau
  • Risikoregister som omdrejningspunkt for fremtidig risikostyring
  • Prognose på risikoscenarier med konsekvens og sandsynlighed
  • Operationel handlingsplan for nedbringelse af risiko
  • Præsentationsmateriale, tilpasset organisationen
  • Adgang til vores samlede værktøjskasse så du kan overtage konceptet
  • Prioriteret adgang til vores specialister for løbende dialog

Værktøjer og standarder

Først og fremmest er vi ikke meget for at tale om værktøjer som afgørende for en god proces. Som vi bemærker i en af vores dogmer, gør værktøjer ingen forskel hvis de underliggende processer ikke fungerer.

Vi har naturligvis over årene udviklet en værktøjskasse, som indgår i vores arbejde. Vi anvender blandt andet:

  • Processen for risikostyring som den er beskrevet i ISO standarder
  • Taxonomier for operationelle risici fra forskellige industrier
  • Egenudviklet scenariegenerator
  • Værktøjer til kalibrering af ekspertudsagn
  • Simulering baseret på Monte Carlo
  • Analyse af nuværende it-sikkerhedsniveau baseret på CIS20
  • Værktøjer til visualisering og præsentation af data
  • Samarbejdspartnere til opsamling af risikodata og udførsel af specifikke tests

Hvad siger kunderne?

e-nettet

Michael Mørck Arnø, Lead Compliance Officer

ACI bidrager med inspiration og sparring således at vores risikostyring bliver baseret på evidens og veldokumenterede metoder.

 

RGS Nordic

Lars Peter Lundstrøm, IT-chef

ACI har hjulpet os til at få overblik over vores it-risici samtidig med at vi har fået et godt værktøj til at prioritere vores investeringer i it-sikkerhed i de kommende år.

 

Lån & Spar Bank

Marc Seneca, Head of IT

ACI medvirker til at vores it-risikostyring både opfylder lovens krav og belyser den samlede it-risiko.

 

DLR Kredit

Christian Willemoes, IT-direktør

ACI har bidraget effektivt til vores risikostyring.

 

KAB

Mikkel Boel, CFO

ACI bidrager til at vi samlet nedbringer vores it-risici til et kendt og accepteret niveau. Processen er god og kompetencerne er på et højt niveau.

 

Master International

Jesper Broberg, CEO / Partner

ACI har med deres praktiske tilgang til it-risikostyring været en væsentlig bidragsyder til, at vi har opnået højeste certificering i håndtering af persondata (ISAE3000 Type 2).

 

 

ACI Risk Management bygger på tre hovedelementer

 

Mennesker
Du får hjælp fra certificerede risk managers med erfaring fra mange risikostyringsprojekter i mange brancher.

Metode
Vi arbejder ud fra en gennemtestet proces og metode for risikostyring, som vi tilpasser organisationen.

Værktøj
Vi har udviklet skabeloner og regnemaskiner, der letter processen og sikrer, at intet bliver overset.

Book et gratis rådgivningsmøde nu

Denne side er beskyttet af reCAPTCHA og er underlagt Googles Privatlivspolitik og Servicevilkår.