Riskacceptans - Kostnadseffektiv riskhantering för IT-system

Författare:

  • Henrik Karlzén
  • Johan Bengtsson
  • Jonas Hallberg

Publiceringsdatum: 2018-02-02

Rapportnummer: FOI-R--4521--SE

Sidor: 55

Skriven på: Svenska

Nyckelord:

  • Riskhantering
  • riskanalys
  • riskacceptans
  • kriterier
  • kostnad
  • nytta
  • ekonomi
  • informationssäkerhet
  • IT-system
  • intressenter
  • säkerhetsinvestering

Sammanfattning

Utformningen av IT-system måste präglas av intressenternas behov för att ge nytta. Dessutom måste de risker som systemen ger upphov till hanteras. Riskhantering tenderar dock att enbart fokusera på riskerna och huruvida de kan accepteras, snarare än att en avvägning görs mot nytta och kostnader. Under 2017 genomförde FoT-projektet Metodik för säkerhetsmålsättningsarbete en studie om riskacceptans. Målsättningen med studien var att identifiera vad som borde påverka beslut om huruvida risker kan accepteras för planerade ITsystem inom Försvarsmakten. Arbetet utgick från Försvarsmaktens egna publikationer samt forskningslitteratur, standarder och branschspecifika vägledningar inom området. Litteraturen lyfter fram att även om det formella riskacceptansbeslutet tas i slutet av riskhanteringsprocessen måste de underliggande kriterierna för riskacceptans prägla hela riskhanteringsprocessen. Riskacceptansbeslut måste väga in de egna verksamhetsbehoven, både på organisationsövergripande och på systemspecifik nivå. Det är dessutom nödvändigt att väga in lagar och standarder samt behov hos intressenter som kan påverkas av systemet. Forskningen om riskacceptans är dock ganska omogen och det finns många forskningsfrågor som behöver besvaras. Exempelvis är förståelsen av hot en essentiell del av riskhanteringsprocessen - och för riskacceptansen - men hur hoten ska beskrivas är inte klarlagt. För att förtydliga på vilka grunder som beslut om riskacceptans ska tas inom Försvarsmakten behöver övergripande kriterier för riskacceptans formuleras. Dessutom behöver befintliga instruktioner kompletteras med en beskrivning av hur de övergripande kriterierna anpassas och genomsyrar alla aktiviteter i riskhanteringsprocessen. Det är också av vikt att inse att teknik och behov kan förändras snabbt samt att bedömningarna aldrig kommer att vara perfekta, varför det bör finnas utrymme för regelbunden uppföljning av analyser och beslut.