Trots att metoderna för att hantera IT-risker och därigenom förbättra säkerheten existerar, så används de mycket bristfälligt. Här har IT-branschen mycket att lära av finansbranschen när det gäller riskanalys.

Thomas Roka-Aardal, som är Head of Information Security på Nagarro, ser i grova drag två förhållningssätt på hur företag och organisationer förhåller sig till IT-säkerhet. Det ena är att visa att man är compliant, det vill säga att man är anpassad till existerande certifieringar och regler. Man kan visa för ledningen att man är compliant.

Det andra förhållningssättet är att hantera risker, göra riskanalyser för att komma fram till rätt nivå på investeringarna i säkerhet.

– Existerande investeringar i säkerhet grundar sig på sätt och vis på riskanalys för att på så sätt få ned riskerna, men vi behöver bli mer faktabaserade i vår syn på hantering av IT-risker. IT-branschen är väldigt omogen när det gäller användningen av vetenskapliga metoder för riskanalys, säger Thomas Roka-Aardal.

Möjlighet till förändringar

Han jämför med hur riskanalys utförs ibland annat den finansiella sektorn. Där har vetenskapligt grundade riskanalyser använts länge och en riskanalys presenteras med matematisk stringens. Nya metoder utvecklas ständigt och kommer till användning i det dagliga arbetet, så är inte läget inom IT-branschen, där man stadigt använder sig av färger och de välkända matriserna. Men nu finns möjligheter till förändringar.

Idag börjar det finnas gott om information som kan ge säkerhetsansvariga en ny syn på hantering av risker och att rätt kvantifiera risker i reda pengar. Det är möjligt att bestämma vilken kostnad man är beredd att ta för en viss IT-risk och göra sina säkerhetsinvesteringar baserat på det.

Målet är att ett företag genom riskanalys ska kunna göra de rätta investeringarna i säkerhet och veta att man har mer kontroll. Det kan till exempelvis vara att kvantifiera risken att någon konkurrent hackar ens affärssystem och ställa skadan mot investeringar i säkerhet.

– Idag kan jag konstatera att kvantifiering av IT-risker blir allt viktigare. Det går inte längre att komma in på ett styrelsemöte utan att ha konkreta siffror, säger Thomas Roka-Aardal.