
Forstå og reducer jeres it-risici med SARA
It-risikostyringsmetoden SARA giver overblik og indblik i jeres samlede it-risikoniveau. Det er en kvantitativ risikoanalyse, der hjælper jer til at forstå, strukturere og prioritere risici, så I kan reducere til et kendt og accepteret niveau.
Processen er velegnet af særligt fire grunde:
- Evidensbaseret
- Praktisk
- Gennemprøvet
- Compliance med lovgivning
SARA står for Security Assessment, Risk Assessment
Sikre svar på fundamentale spørgsmål
En risikoanalyse skal bygge på klare og konsistente definitioner af begreber. Hos ACI sikrer vi altid, at alle har samme forståelse af definitioner og korrelationen mellem risiko, tabshændelse, trusselshændelse, sårbarheder, konsekvens m.m.
På et solidt grundlag af data og definitioner anvender vi vores kvantitative it-risikostyringsmetode. Det giver jer konkrete og evidensbaserede svar på essentielle spørgsmål om risiko:
- Hvordan ved vi, at risikostyringen virker?
- Ville vi vide det, hvis det ikke virkede?
- Hvad vil konsekvensen være, hvis det ikke virker?
Reducer og fokuser de rette steder
Vores kvantitative it-risikoanalyse hjælper jer med at identificere de tiltag, der giver den bedste risikoreduktion per krone. Gennem en overkommelig og uvildig proces bliver jeres it-ansvarlige, ledelse og nøglepersoner klædt på til at kunne gennemskue trusselsbilledet og handle hensigtsmæssigt. Det er ikke mere kompliceret, end det I gør i dag, men det er mere målbart og anvendeligt.
Med vores risikovurdering får I en opgørelse over:
- Trusselsbilledet i sandsynlig frekvens sat op imod størrelsen af tab i kroner og ører
- Forventede tab på forskellige it-risikoområder
- Risikoniveau i forhold til risikoappetit
Sikkert og systematisk
Lovgivningen for it-sikkerhed bliver konstant opjusteret, og forventningerne øges blandt interessenter i forhold til it-compliance og dokumentation. Myndighederne lægger i sin vurdering vægt på metoden til udarbejdelse af it-risikoanalyser.
Vores kvantitative it-risikoanalyse har været gennemgået af tilsynet uden anmærkninger. I kan derfor være forvissede om, at vores risikostyringsmetode opfylder kravene i den gældende lovgivning og vejledninger om risikostyring.
Med SARA vil I altid kunne svare på følgende spørgsmål i forbindelse med it-governance:
- Hvad er det rigtige at gøre?
- Hvordan gør vi det?
- Hvordan beviser vi, at vi har gjort det rigtige?

“Rytmer og checklister er grundlæggende for al udvikling.
Uden dem bliver det farverigt og sjovt, men man når ingen vegne.”
ACI dogme #4
Fra analyse til praksis
Arbejdet med it-governance, risk og compliance er vigtigt, men krævende. Vi hjælper jer med at gøre denne opgave lettere. Sammen omsætter vi jeres risikovurdering til reel risikonedbringelse gennem governance-dokumentation, der skaber synergi med jeres risikostyring og en rød tråd i alle jeres GRC-aktiviteter.
Planen bygger vi på en analyse af jeres compliance-landskab og afstemmer den med jeres risikoappetit. I får altså omsat strategier og mål til konkrete politikker og processer, der er sammenhængende og systematiske, gennemsigtige og grundige. På den måde sikrer vi jer sikrer optimal it-governance og compliance, og reducerer risikoen for brud på informationssikkerheden.

Tolv trin til overblik, prioritering og handling
SARA-processen gennemgår og analyserer jeres it-risici på en måde, som er evidensbaseret, praktisk, gennemprøvet, upartisk og i overensstemmelse med gældende lovgivning.
Slutproduktet er en rapport og governance-dokumentation. I får overblik og indblik i jeres sårbarheder, herunder hvilke der er farligst og dyrest, samt hvilke skridt der skal tages for at reducere risiko systematisk og grundigt.
Processen består af over 100 interne aktiviteter fordelt på 12 trin, hvor I som kunde deltager i ca. 5 workshops:
- Klargøring
- Scoping
- Indkaldelser og praktik
- Scenarieopbygning
- Risikoregister
- Sikkerhedsmålinger
- Sikkerhedsanalyse
- Estimering
- Simulering
- Mitigeringsplan
- Rapportering
- Kommunikation
Et gennemløb af ovenstående SARA-proces kan fuldføres på 1 uge under optimale forhold. Vi skræddersyr selvfølgelig forløbet til jeres virksomhed, herunder rapportering m.v., for at sikre et effektivt, grundigt og sikkert forløb.
Har I brug for SARA?
Prøv vores 2-minutters-refleksion og find ud af, om jeres nuværende risikostyring giver tilfredsstillende svar på essentielle spørgsmål.
Et oplagt valg til finansielle og forsyningsvirksomheder
It-risikostyringsmetoden SARA kan med stor fordel bruges af finansielle og forsyningsvirksomheder. Her sikrer SARA struktur, systematik og anvendelighed, så virksomheder forstår deres reelle it-trusselsbillede, og følger den gældende lovgivning og vejledninger om risikostyring, for eksempel ledelsesbekendtgørelsens bilag 5. Vi har allerede arbejdet på projekter specifikt til lovgivning i den finansielle sektor og forsyning & energi.
Vil I vide mere om SARA?
Kontakt os gerne, så vil vi uddybe, hvordan et SARA-forløb kan skabe værdi for jer. Tag venligst kontakt til vores salgschef Thomas Bang på:
Telefon: +45 9360 5152
E-mail: tba@aci.dk
