Risikostyring

IT er et realistfag. Det er kanskje derfor vi i mange sammenhenger fremstiller risiko i matematiske termer, for eksempel Annual Loss Expectancy, eller at vi ganger sammen sannsynlighet og konsekvens utfra hvor mange ganger i året vi forventer en hendelse skal inntreffe, hvor mange kroner vi vil tape på hendelsen, eventuelt hva den vil forårsake av problemstillinger ut over direkte økonomisk tap, og så videre.

Det er faktisk nyttig å gjøre denne type øvelse. Men kan vi si noe sikkert om risiko i IT-systemer utfra denne type enkle modeller? I de fleste tilfeller har vi for få hendelser til å kunne si noe sikkert om hvor ofte hendelsen inntreffer. Det er ikke som husbrann, for å si det slik. Vi har i noen tilfeller kjennskap til at en lignende hendelse har inntruffet tidligere, og vi har et inntrykk av hvor lett det vil kunne hende igjen. I andre tilfeller er hendelsen hentet fra ulike teknologimiljøer der man har funnet frem til sårbarheter som ikke ennå er utnyttet. Enkle matematiske sammenhenger er dermed ikke enkelt å finne.

Jeg tror vi tjener på å få mer refleksjon og kanskje mer teoretisk kunnskap knyttet til risikomodellene vi benytter for styring og kontroll med IT-sikkerhet. Jeg håper Basel II og modeller for operasjonell risikostyring kan være noe å følge med på videre.

IT-sikkerhetsmennesker og web 2.0

Mange som arbeider med IT-sikkerhet er tilbakeholdne til å prøve Web 2.0-tjenester. Dette kan skyldes at vi ser trusler og utfordringer med disse tjenestene og at skepsisen overvinner den naturlige nysgjerrigheten vi ellers ville hatt med å prøve dem.

Jeg tror det er viktig at vi som arbeider med IT-sikkerhet prøver og får et reelt brukerforhold til Web 2.0-tjenestene. Først da kan vi ha god realistisk forståelse av trusler og risiko og gjøre gode avveininger i forhold til nytte og innovasjonsmuligheter.