Løsning
Risikovurdering til virksomheder — fra trusselsbillede til handling
En risikovurdering kortlægger hvilke trusler der reelt rammer jeres systemer og data, hvor sandsynlige de er, og hvad de vil koste jer. Skal I lave en — fordi NIS2, ISO 27001 eller en kunde kræver det, eller fordi I selv vil vide hvor I står — laver Auroa den sammen med jer og afleverer et dokument, I kan handle ud fra: konkrete trusler, prioriterede tiltag og en plan der holder til revision. Fast pris, anerkendt met
Situationen
De fleste virksomheder kommer til en risikovurdering ét af fire steder.
NIS2 eller ISO 27001 kræver en dokumenteret risikovurdering, og I mangler en der kan stå for sig selv ved et tilsyn eller en audit. En IT-risikovurdering er ikke længere noget I kan vælge fra — for omfattede virksomheder er den et lovkrav, og den skal kunne fremvises.
En kunde har bedt om dokumentation for, at I har styr på jeres risici, før de vil indgå aftale. Stadig flere udbud og leverandøraftaler stiller krav om en risikovurdering af informationssikkerheden, og uden den taber I opgaven.
I har en gammel risikovurdering liggende i et regneark, som ingen har rørt i to år, og som ikke afspejler de systemer I rent faktisk kører i dag. En forældet vurdering er i praksis ingen vurdering — hverken over for en myndighed eller internt.
Eller I vil simpelthen selv vide, hvor I står. En risikovurdering er den hurtigste vej til et samlet overblik over, hvor jeres reelle sårbarheder ligger, så I kan bruge sikkerhedsbudgettet der hvor det betyder mest.
Fælles for alle fire er, at en risikovurdering kun har værdi, hvis den fører til handling. En liste over teoretiske trusler uden prioritering eller ejerskab er spildt arbejde — den består ikke en revision, og den gør jer ikke mere sikre.
Sådan hjælper Auroa
Auroa laver risikovurderingen sammen med jer, ikke som et skrivebordsprodukt vi afleverer udefra. Vi kortlægger jeres faktiske systemer, data og afhængigheder, identificerer de trusler der er relevante for netop jer, og vurderer dem på sandsynlighed og konsekvens.
Vi bruger en anerkendt metode (ISO 27005-tilgang), så vurderingen er genkendelig for revisorer, auditorer og kunder. Det betyder konkret, at hver risiko vurderes systematisk — ikke ud fra mavefornemmelse, men ud fra en struktureret model for sandsynlighed og konsekvens, som en NIS2-myndighed eller en ISO 27001-auditor kender og accepterer.
Resultatet er et dokument, der både holder til et tilsyn eller en audit og fungerer som en konkret handlingsplan internt. Vi sætter ejerskab og deadlines på de tiltag, der skal lukke de største huller, så I ikke ender med en rapport, der lægges i en skuffe, men med en prioriteret plan I kan arbejde videre med.
Hele forløbet kører på fast pris, fastsat ud fra omfanget af jeres systemer. I ved på forhånd, hvad det koster, og hvad I får.
De to forveksles ofte, men de besvarer hver sit spørgsmål. En sårbarhedsscanning finder tekniske svagheder i konkrete systemer — en uopdateret server, en åben port, en kendt CVE. En risikovurdering ser bredere: den vurderer hvilke trusler der kan ramme jeres forretning som helhed, hvor sandsynlige de er, og hvad konsekvensen ville være — også de risici, der ikke er tekniske, som manglende processer, leverandørafhængigheder eller menneskelige fejl.
I praksis supplerer de hinanden. En sårbarhedsscanning er et input til risikovurderingen, ikke en erstatning for den. NIS2 og ISO 27001 kræver risikovurderingen — det strategiske overblik — ikke kun en teknisk scanning.
Hvad leverancen indeholder
Kortlægning af jeres faktiske risikobillede
Vi gennemgår systemer, data, leverandører og afhængigheder — ikke en generisk tjekliste, men jeres reelle setup.
Vurdering på sandsynlighed og konsekvens
Hver trussel vurderes med en anerkendt metode (ISO 27005), så resultatet er sammenligneligt og revisionsklart.
Prioriterede tiltag med ejerskab
I får en handlingsplan, hvor de største huller lukkes først, med ansvarlig og deadline på hvert tiltag.
Dokumentation der holder til tilsyn og audit
Risikovurderingen er bygget til at stå for sig selv over for en NIS2-myndighed, en ISO 27001-auditor eller en kunde.
Et fundament I kan vedligeholde
I får en struktur, der kan opdateres løbende, så risikovurderingen ikke forældes efter første aflevering.
Ofte stillede spørgsmål
Hvad koster en risikovurdering?
Vi arbejder med fast pris, fastsat ud fra omfanget af jeres systemer og det compliance-krav, vurderingen skal opfylde. I får prisen oplyst på forhånd, så der ikke er overraskelser undervejs.
Kræver NIS2 en risikovurdering?
Ja. NIS2 stiller krav om, at omfattede virksomheder gennemfører og dokumenterer en risikostyringsproces. Risikovurderingen er fundamentet, som de tekniske og organisatoriske foranstaltninger bygges oven på.
Hvor lang tid tager det?
For en typisk SMV tager forløbet fra et par uger til en måned, afhængigt af hvor mange systemer og leverandører der skal kortlægges, og hvor hurtigt vi kan få adgang til de nødvendige oplysninger.
Kan I bruge en risikovurdering vi allerede har?
Ja. Hvis I har en eksisterende vurdering, tager vi udgangspunkt i den, opdaterer den mod jeres nuværende systemer og bringer den op på et niveau, der holder til revision — frem for at starte forfra.
Er en risikovurdering det samme som en sårbarhedsscanning?
Nej. En sårbarhedsscanning finder tekniske svagheder i konkrete systemer. En risikovurdering ser bredere på trusler, konsekvenser og organisatoriske forhold og prioriterer, hvad I bør gøre noget ved først. De to supplerer hinanden.
Hvad er forskellen på en risikovurdering og en risikoanalyse?
Begreberne bruges ofte i flæng. En risikoanalyse er den del, hvor I identificerer og vurderer de enkelte risici; risikovurderingen er den samlede proces, der også omfatter prioritering og beslutning om, hvilke risici I accepterer, reducerer eller forsikrer jer mod. I praksis leverer Auroa hele forløbet — fra analyse til færdig, handlingsorienteret vurdering.
Hvilken metode bruger I til risikovurderingen?
Vi tager udgangspunkt i ISO 27005, som er den anerkendte standard for risikostyring inden for informationssikkerhed. Den er genkendelig for auditorer og myndigheder og passer både til NIS2 og ISO 27001. Metoden tilpasses jeres størrelse — en mindre virksomhed skal ikke igennem samme tunge proces som en stor koncern.
Skal vi løse det for jer?
Book en uforpligtende afklaringssamtale, så finder vi den rette løsning til jeres situation.
