Løsning

Risikovurdering til virksomheder — fra trusselsbillede til handling

En risikovurdering kortlægger hvilke trusler der reelt rammer jeres systemer og data, hvor sandsynlige de er, og hvad de vil koste jer. Skal I lave en — fordi NIS2, ISO 27001 eller en kunde kræver det, eller fordi I selv vil vide hvor I står — laver Auroa den sammen med jer og afleverer et dokument, I kan handle ud fra: konkrete trusler, prioriterede tiltag og en plan der holder til revision. Fast pris, anerkendt met

Situationen

De fleste virksomheder kommer til en risikovurdering ét af fire steder.

NIS2 eller ISO 27001 kræver en dokumenteret risikovurdering, og I mangler en der kan stå for sig selv ved et tilsyn eller en audit. En IT-risikovurdering er ikke længere noget I kan vælge fra — for omfattede virksomheder er den et lovkrav, og den skal kunne fremvises.

En kunde har bedt om dokumentation for, at I har styr på jeres risici, før de vil indgå aftale. Stadig flere udbud og leverandøraftaler stiller krav om en risikovurdering af informationssikkerheden, og uden den taber I opgaven.

I har en gammel risikovurdering liggende i et regneark, som ingen har rørt i to år, og som ikke afspejler de systemer I rent faktisk kører i dag. En forældet vurdering er i praksis ingen vurdering — hverken over for en myndighed eller internt.

Eller I vil simpelthen selv vide, hvor I står. En risikovurdering er den hurtigste vej til et samlet overblik over, hvor jeres reelle sårbarheder ligger, så I kan bruge sikkerhedsbudgettet der hvor det betyder mest.

Fælles for alle fire er, at en risikovurdering kun har værdi, hvis den fører til handling. En liste over teoretiske trusler uden prioritering eller ejerskab er spildt arbejde — den består ikke en revision, og den gør jer ikke mere sikre.

Sådan hjælper Auroa

Auroa laver risikovurderingen sammen med jer, ikke som et skrivebordsprodukt vi afleverer udefra. Vi kortlægger jeres faktiske systemer, data og afhængigheder, identificerer de trusler der er relevante for netop jer, og vurderer dem på sandsynlighed og konsekvens.

Vi bruger en anerkendt metode (ISO 27005-tilgang), så vurderingen er genkendelig for revisorer, auditorer og kunder. Det betyder konkret, at hver risiko vurderes systematisk — ikke ud fra mavefornemmelse, men ud fra en struktureret model for sandsynlighed og konsekvens, som en NIS2-myndighed eller en ISO 27001-auditor kender og accepterer.

Resultatet er et dokument, der både holder til et tilsyn eller en audit og fungerer som en konkret handlingsplan internt. Vi sætter ejerskab og deadlines på de tiltag, der skal lukke de største huller, så I ikke ender med en rapport, der lægges i en skuffe, men med en prioriteret plan I kan arbejde videre med.

Hele forløbet kører på fast pris, fastsat ud fra omfanget af jeres systemer. I ved på forhånd, hvad det koster, og hvad I får.

De to forveksles ofte, men de besvarer hver sit spørgsmål. En sårbarhedsscanning finder tekniske svagheder i konkrete systemer — en uopdateret server, en åben port, en kendt CVE. En risikovurdering ser bredere: den vurderer hvilke trusler der kan ramme jeres forretning som helhed, hvor sandsynlige de er, og hvad konsekvensen ville være — også de risici, der ikke er tekniske, som manglende processer, leverandørafhængigheder eller menneskelige fejl.

I praksis supplerer de hinanden. En sårbarhedsscanning er et input til risikovurderingen, ikke en erstatning for den. NIS2 og ISO 27001 kræver risikovurderingen — det strategiske overblik — ikke kun en teknisk scanning.

Hvad leverancen indeholder

Kortlægning af jeres faktiske risikobillede

Vi gennemgår systemer, data, leverandører og afhængigheder — ikke en generisk tjekliste, men jeres reelle setup.

Vurdering på sandsynlighed og konsekvens

Hver trussel vurderes med en anerkendt metode (ISO 27005), så resultatet er sammenligneligt og revisionsklart.

Prioriterede tiltag med ejerskab

I får en handlingsplan, hvor de største huller lukkes først, med ansvarlig og deadline på hvert tiltag.

Dokumentation der holder til tilsyn og audit

Risikovurderingen er bygget til at stå for sig selv over for en NIS2-myndighed, en ISO 27001-auditor eller en kunde.

Et fundament I kan vedligeholde

I får en struktur, der kan opdateres løbende, så risikovurderingen ikke forældes efter første aflevering.

Ofte stillede spørgsmål

Skal vi løse det for jer?

Book en uforpligtende afklaringssamtale, så finder vi den rette løsning til jeres situation.