Case: Magenta
Risikostyring blev en opgave for hele virksomheden
Magenta
Magenta er Skandinaviens største open source it-leverandør. Magenta leverer standardiserede it-løsninger og integrationer til den offentlige sektor i Danmark, Grønland og Skandinavien.
Læs mere om virksomheden her
”Vi har selvfølgelig altid fokuseret på IT-sikkerhed i vores produkter, men vi har ikke tidligere arbejdet så struktureret og mere overordnet med de trusler og risici, vi har som virksomhed,” fremhæver Anne Dorte Bach, der er Projektleder og DPO ved Magenta.
Virksomheden er Skandinaviens største open source-IT-leverandør og har som deltager i Sb3D-projektet arbejdet tæt sammen med Alexandra Instituttet om risikovurdering.
Forløbet har ændret deres måde at arbejde på, konstaterer Anne Dorte Bach. Hun omtaler selv forandringen som et skift fra ”opportunity-styring” til risikostyring.
Fra "opportunity-styring" til risikostyring
Pandemien blev startskud for forandring
Opportunity-styring er hendes egen betegnelse for det fænomen, at Magenta som stærkt vækstende gazelle-virksomhed havde mange opgaver, mange projekter og mange teknologier i virksomheden – måske i virkeligheden for mange.
Under corona-pandemien oplevede Magenta en nedgang i opgaver og måtte omstrukturere organisationen. Samtidig var der mange nye reguleringer og krav som NIS2 og EU’s Cyber Resilience Act i vente.
Som leverandør til store virksomheder skal Magenta naturligvis kunne levere på det sikkerhedsniveau, som deres kunder selv er underlagt, så der skulle ske noget.
Standarder og et system strukturerer arbejdet
Magenta skar derfor ned på antallet af produkter og i særdeleshed antallet af teknologier i virksomheden for dermed at have færre specialister. Samtidig fortsatte de arbejdet med at bygge en stærkere og mere sikker teknisk infrastruktur i virksomheden og begyndte at arbejde med risikostyret prioritering.
Magenta er også i gang med en certificering inden for ISO 27001, der er en informationssikkerhedsstandard og ISO 27701, der en privacy add-on til denne standard.
”I certificeringsforløbet har vi arbejdet intenst med risikostyring på en meget mere struktureret måde, end vi har været vant til fra tidligere,” understreger Anne Dorte Bach. Magenta valgte at implementere et system til formålet og har nu et langt mere robust fundament end før, vurderer hun.
Første skridt var et overblik over alle assets
Magenta skabte sig først et sammenhængende overblik over virksomhedens assets, dvs. hvilke data, processer, værktøjer og systemer, hver enkelt enhed eller afdeling arbejder med. På den måde blev det muligt at kortlægge ansvaret for hvert enkelt område.
”Det gav os et virkelig godt billede og var på nogle områder også ret overraskende: Da vi gik i detaljer, fandt vi ud af, at der var langt flere assets i virksomheden, end vi egentlig helt var klar over,” indrømmer Anne Dorte Bach.
Derefter begyndte arbejdet med at vurdere, hvilke assets der var kritiske og knap så kritiske for virksomheden, og hvilke der let ville kunne skiftes ud med noget andet. I den sammenhæng afholdt Alexandra Instituttet workshops med Magentas medarbejdere om risikovurdering, så alle var klædt godt på til opgaven.
”Vi samlede derefter grupper fra forskellige områder,” fortæller hun. ”De risikovurderede på de værktøjer og systemer, som de havde ansvaret for med hjælp fra nogle nøglemedarbejdere, der arbejdede med risiko på tværs af organisationen.”
Trusselskatalog gjorde konsekvenser lettere at gå til
Begrebet konsekvens var svært at få greb om, erkender Anne Dorte Bach:
”Hvad er konsekvensen ved et sikkerhedsbrud i systemet? Er det konsekvensen for slutbrugerne, hvis der er persondata i systemet? Eller er det konsekvensen for vores kunder? Eller for os som virksomhed? Hvordan kan det ramme os, hvis der er noget galt i vores infrastruktur eller i de produkter, vi sælger til kunderne? Og hvordan sikrer vi at få medtaget risiko for de registrerede i privacy-øjemed?”
De tog udgangspunkt i et trusselskatalog og tilpassede det til Magentas virkelighed. Redskabet gjorde det lettere at se, hvilke områder de ikke behøvede at at lægge så meget vægt på, og hvor der omvendt skulle være fokus.
Årlige rapporter og en medieringsstrategi sikrer fremdrift
Et andet væsentligt tiltag er, at Magenta nu laver årlige risikorapporter, der blandt andet indeholder visuelle overbliksbilleder over forskellige assets efter et trafiklysprincip, dog med flere nuancer mellem højrisiko-rødt og grønt lys.
De har valgt en medieringsstrategi, hvor medieringen og risikoen sammenlignes og afvejes i forhold til hinanden.
”Hvis risikomedieringen er dyrere eller værre end konsekvensen, så accepterer vi typisk risikoen,” forklarer Anne Dorte Bach. ”Men hvis risikoen kan ramme os hårdere end mitigeringen ville gøre, så eliminerer vi risikoen.”
Simple tal og rig dokumentation erstatter mavefornemmelser
Magenta har valgt en ret enkel risikovurderingsmetode, der tager højde for kun to parametre, nemlig konsekvens og sandsynlighed inden for en skala på 1-5. For at vurdere sandsynligheden forholdt de sig til tidligere incidences, andre relevante tal fra support og lessons learned.
På den måde erstattede de mavefornemmelser med reel evidens for, hvor ofte der egentlig har været problemer på forskellige områder, udtaller Anne Dorte Bach. Målet er senere at erstatte sandsynlighed med sårbarhedsvurdering, der er mere fremadrettet og tager højde for nye trusler.
Samtidig lærte de vigtigheden af ordentlig dokumentation af deres vurderinger. ”Når man efter et år genbesøger et tal for at vurdere det igen, er det ikke sikkert, man kan huske, hvorfor det egentlig var, man blev enige om at vurdere risikoen til lige præcist dét tal,” uddyber hun.
Risikostyring er nu strategisk punkt på dagsordenen
For Anne Dorte Bach er den største vinding, at risikostyring er kommet op på ledelsesniveau og ud i hele virksomheden.
”Som udvikler og tekniker kan man tænke, at en risiko er alvorlig og skal håndteres, fordi et system ikke er state-of -the-art, men måske har risikoen ikke nogen særlig høj impact, eller området er ikke specielt kritisk.”
”Sådan et ledelsesoverblik er noget nyt; det har vi ikke haft før på den måde,” siger hun.
”Vi har fået et fælles sprog. Nu er det muligt for ledelsen at prioritere, hvor vi skal lægge indsatsen henne. Hele virksomheden kan nu have en samtale, hvor udviklere, ledelse og bogholdere bliver inddraget.
Vi har nu en dialog om risikoen inden for et bestemt område, og om vi skal gøre noget ved det, fordi vi er enige om, hvad det vil sige, at noget har en høj impact på virksomheden eller for de personer, der er registrerede i systemet.”
Anne Dorte Bach konkluderer, at den nye tilgang hjælper med at prioritere i virksomheden, så de bruger deres ressourcer til at gøre virksomheden mere robust og sikker.
”Vi har ikke ubegrænsede midler til at lave sikkerhedstiltag, så nu kan vi bruge dem på det rigtige, så vi kommer i den rigtige retning som virksomhed.”