Konsulent Tobias Møller giver præsentation om risikoanalyse

 

 

Forstå og reducer jeres it-risici med SARA

It-risikostyringsmetoden SARA giver overblik og indblik i jeres samlede it-risikoniveau. Det er en kvantitativ risikoanalyse, der hjælper jer til at forstå, strukturere og prioritere risici, så I kan reducere til et kendt og accepteret niveau.

Processen er velegnet af særligt fire grunde:

  1. Evidensbaseret
  2. Praktisk
  3. Gennemprøvet
  4. Compliance med lovgivning

 

 

SARA står for Security Assessment, Risk Assessment

Sikre svar på fundamentale spørgsmål

En risikoanalyse skal bygge på klare og konsistente definitioner af begreber. Hos ACI sikrer vi altid, at alle har samme forståelse af definitioner og korrelationen mellem risiko, tabshændelse, trusselshændelse, sårbarheder, konsekvens m.m.

På et solidt grundlag af data og definitioner anvender vi vores kvantitative it-risikostyringsmetode. Det giver jer konkrete og evidensbaserede svar på essentielle spørgsmål om risiko:

  1. Hvordan ved vi, at risikostyringen virker?
  2. Ville vi vide det, hvis det ikke virkede?
  3. Hvad vil konsekvensen være, hvis det ikke virker?

 

Reducer og fokuser de rette steder

Vores kvantitative it-risikoanalyse hjælper jer med at identificere de tiltag, der giver den bedste risikoreduktion per krone. Gennem en overkommelig og uvildig proces bliver jeres it-ansvarlige, ledelse og nøglepersoner klædt på til at kunne gennemskue trusselsbilledet og handle hensigtsmæssigt. Det er ikke mere kompliceret, end det I gør i dag, men det er mere målbart og anvendeligt.

Med vores risikovurdering får I en opgørelse over:

  • Trusselsbilledet i sandsynlig frekvens sat op imod størrelsen af tab i kroner og ører
  • Forventede tab på forskellige it-risikoområder
  • Risikoniveau i forhold til risikoappetit

 

Sikkert og systematisk

Lovgivningen for it-sikkerhed bliver konstant opjusteret, og forventningerne øges blandt interessenter i forhold til it-compliance og dokumentation. Myndighederne lægger i sin vurdering vægt på metoden til udarbejdelse af it-risikoanalyser.

Vores kvantitative it-risikoanalyse har været gennemgået af tilsynet uden anmærkninger. I kan derfor være forvissede om, at vores risikostyringsmetode opfylder kravene i den gældende lovgivning og vejledninger om risikostyring.

Med SARA vil I altid kunne svare på følgende spørgsmål i forbindelse med it-governance:

  1. Hvad er det rigtige at gøre?
  2. Hvordan gør vi det?
  3. Hvordan beviser vi, at vi har gjort det rigtige?
Orange post-its hænger på hvid væg

 

 

“Rytmer og checklister er grundlæggende for al udvikling.
Uden dem bliver det farverigt og sjovt, men man når ingen vegne.”
ACI dogme #4

 

Fra analyse til praksis

Arbejdet med it-governance, risk og compliance er vigtigt, men krævende. Vi hjælper jer med at gøre denne opgave lettere. Sammen omsætter vi jeres risikovurdering til reel risikonedbringelse gennem governance-dokumentation, der skaber synergi med jeres risikostyring og en rød tråd i alle jeres GRC-aktiviteter.

Planen bygger vi på en analyse af jeres compliance-landskab og afstemmer den med jeres risikoappetit. I får altså omsat strategier og mål til konkrete politikker og processer, der er sammenhængende og systematiske, gennemsigtige og grundige. På den måde sikrer vi jer sikrer optimal it-governance og compliance, og reducerer risikoen for brud på informationssikkerheden.

 

 

Konsulent Frederik Thygesen skriver på whiteboard

Tolv trin til overblik, prioritering og handling

SARA-processen gennemgår og analyserer jeres it-risici på en måde, som er evidensbaseret, praktisk, gennemprøvet, upartisk og i overensstemmelse med gældende lovgivning.

Slutproduktet er en rapport og governance-dokumentation. I får overblik og indblik i jeres sårbarheder, herunder hvilke der er farligst og dyrest, samt hvilke skridt der skal tages for at reducere risiko systematisk og grundigt.

Processen består af over 100 interne aktiviteter fordelt på 12 trin, hvor I som kunde deltager i ca. 5 workshops:

  1. Klargøring
  2. Scoping
  3. Indkaldelser og praktik
  4. Scenarieopbygning
  5. Risikoregister
  6. Sikkerhedsmålinger
  7. Sikkerhedsanalyse
  8. Estimering
  9. Simulering
  10. Mitigeringsplan
  11. Rapportering
  12. Kommunikation

Et gennemløb af ovenstående SARA-proces kan fuldføres på 1 uge under optimale forhold. Vi skræddersyr selvfølgelig forløbet til jeres virksomhed, herunder rapportering m.v., for at sikre et effektivt, grundigt og sikkert forløb.

 

Har I brug for SARA?

Prøv vores 2-minutters-refleksion og find ud af, om jeres nuværende risikostyring giver tilfredsstillende svar på essentielle spørgsmål.

Gennemgå øvelsen her

 

Et oplagt valg til finansielle og forsyningsvirksomheder

It-risikostyringsmetoden SARA kan med stor fordel bruges af finansielle og forsyningsvirksomheder. Her sikrer SARA struktur, systematik og anvendelighed, så virksomheder forstår deres reelle it-trusselsbillede, og følger den gældende lovgivning og vejledninger om risikostyring, for eksempel ledelsesbekendtgørelsens bilag 5. Vi har allerede arbejdet på projekter specifikt til lovgivning i den finansielle sektor og forsyning & energi.

 

 

Vil I vide mere om SARA?

Kontakt os gerne, så vil vi uddybe, hvordan et SARA-forløb kan skabe værdi for jer. Tag venligst kontakt til vores salgschef Thomas Bang på:

Telefon: +45 9360 5152

E-mail: tba@aci.dk