Alla gör riskanalyser. Få gör dem rätt.
Riskanalys är grundbulten i Cybersäkerhetslagen, ISO 27001 och i princip varje säkerhetsramverk som finns. Alla vet att det ska göras. Men efter att ha sett hundratals riskmatriser kan jag konstatera en sak: de flesta ger en exakt bild av helt fel saker.
Problemet är inte att organisationer hoppar över riskanalysen. Problemet är att de gör den på ett sätt som inte ger verkligt beslutsunderlag. Resultatet blir ett dokument som ser professionellt ut i en pärm. Men det påverkar aldrig ett enda beslut.
Här är de fem vanligaste felen och hur du undviker dem.
Fel 1: Kopiera andras riskregister
Det är frestande att börja med en mall. Någon annans riskregister, en branschstandards exempelrisker, eller ett konsultbolags fördefinierade lista.
Problemet? Andras risker är inte era risker.
En tillverkningsorganisation och en SaaS-leverantör (Software as a Service) har helt olika risklandskap. Även inom samma bransch varierar riskerna beroende på storlek, IT-miljö, kundstruktur och mognad.
Rätt tillvägagångssätt: Börja med dina egna informationsflöden. Vilken information hanterar du? Var lagras den? Vem har åtkomst? Vilka processer är beroende av den? Dina risker uppstår i gapet mellan informationens värde och de hot som kan utnyttja svagheter i hur du hanterar den.
Fel 2: Blanda inneboende risk och kontrolleffektivitet
Det här är det mest utbredda felet. Du bedömer en risk som “låg”, men den är bara låg för att det redan finns en kontroll på plats.
Vad händer om kontrollen slutar fungera? Om brandväggsregeln ändras, om backup-tjänsten upphör, om den erfarna medarbetaren slutar?
När du blandar inneboende risk och kontrolleffektivitet i samma bedömning tappar du förmågan att förstå vad kontrollerna faktiskt bidrar med. Du ser inte var du är som mest sårbar om en kontroll slutar fungera.
Separera alltid bedömningen i två steg:
- Inneboende risk. Hur allvarlig är risken utan kontroller? Det ger dig en bild av det underliggande hotet.
- Kontrolleffektivitet. Hur väl minskar befintliga kontroller risken? Det visar var dina investeringar faktiskt gör skillnad.
Skillnaden ger dig kvarstående risk, den risk du faktiskt lever med idag. Det är den som ska jämföras mot din riskaptit.
Fel 3: Falsk precision med multidimensionella skalor
En 5x5-matris med sannolikhet och konsekvens ger 25 möjliga nivåer. Det ser exakt ut. Men om bedömarna inte kan skilja mellan “sannolikhet 3” och “sannolikhet 4” på ett konsekvent sätt, har du bara lagt till brus.
Värre: många organisationer använder skalor där dimensionerna inte är oberoende. “Hög sannolikhet och hög konsekvens” blir automatiskt “kritisk risk”. Men vad om sannolikheten är hög just för att konsekvensen är låg? Du kanske inte har prioriterat skydd just därför.
Vad som fungerar bättre:
- Använd färre nivåer (3×3 räcker ofta)
- Definiera varje nivå med konkreta exempel relevanta för din verksamhet
- Kalibrera genom att bedöma ett antal risker gemensamt innan du bedömer individuellt
- Acceptera att riskbedömning är en kvalificerad uppskattning, inte en exakt vetenskap
Fel 4: Risk utan koppling till affärspåverkan
“Risken för obehörig åtkomst till systemet bedöms som medelhög.” Utmärkt. Och vad innebär det för verksamheten? Ingenting, om bedömningen stannar där.
Styrelsen vill inte höra sannolikhetsnivåer. De vill veta: vad kostar det om det händer? Hur länge ligger vi nere?
Vilka kunder påverkas? Vilka regulatoriska konsekvenser utlöses?
Kopplingen mellan teknisk risk och affärspåverkan är det som gör riskanalysen till ett beslutsunderlag istället för ett IT-dokument.
| Teknisk bedömning | Affärsspråk |
|---|---|
| ”Hög sannolikhet för <span lang=“en”>ransomware" | "30% risk för 5 dagars produktionsstopp, uppskattad kostnad 3–8 MSEK" |
| "Medel risk för dataläckage" | "Potentiellt GDPR-vite och förlust av 2–3 nyckelkunder" |
| "Låg risk för DDoS" | "Max 4 timmars nedtid, begränsad affärspåverkan” |
Fel 5: Engångsövning istället för levande process
Den vanligaste tidpunkten för en riskanalys? Precis innan en revision, certifiering eller tillsynskontroll. Sedan läggs den i en mapp tills nästa gång.
En riskanalys som inte uppdaterats sedan den gjordes speglar ett hotlandskap som inte längre existerar. Du inför nya system, byter leverantörer, hotaktörer ändrar taktik och organisationen omstruktureras. Analysen var korrekt när den gjordes, men den styr inga beslut idag.
Nya system, leverantörer, processer eller organisationsförändringar ska utlösa en omvärdering av berörda risker. Det behöver inte vara en fullständig omgörning. Fokusera på det som har ändrats.
Minst årligen bör du granska hela riskregistret. Kvartalsvis granskning av de högst prioriterade riskerna ger ännu bättre styrning.
Varje incident bör leda till en omvärdering av relevanta risker. Incidenter ger dig faktisk data om hotlandskapet. Använd den.
Ett riskregister som bara riskanalytikern kan tolka driver inga beslut. Gör det begripligt för dem som fattar besluten, det vill säga ledningen.
Från riskmatris till beslutsunderlag
En riskmatris är inte ett mål i sig. Den är ett verktyg för att fatta bättre beslut om var du ska lägga begränsade resurser. Om din riskanalys inte förändrar prioriteringar, inte påverkar budgetbeslut och inte diskuteras på ledningsnivå, då tjänar den inget syfte.
Fråga dig: när ledde ett resultat från riskanalysen senast till en verklig förändring? Om svaret är “aldrig” eller “jag vet inte” är det dags att omvärdera inte bara riskerna, utan processen. Fördjupa dig i skillnaden mellan riskanalys och riskbedömning och i vår guide till riskhantering enligt ISO 27005.
Securapilots riskmodul bygger på ISO 27005 och separerar inneboende risk från kontrollbedömning. Det gör att din riskbild faktiskt speglar verkligheten och ger dig det beslutsunderlag du behöver.
Vanliga frågor
Varför fungerar inte riskmatriser?
Riskmatriser kan fungera, om de används rätt. Problemen uppstår när organisationer kopierar generiska riskregister, blandar ihop risknivåer med kontrollstatus, eller aldrig uppdaterar bedömningen. En riskmatris ska ge beslutsunderlag, inte bara en färgkodad bild.
Vad är skillnaden mellan inneboende risk och kvarstående risk?
Inneboende risk är risknivån innan kontroller appliceras. Kvarvarande risk är den risk som återstår efter att kontroller implementerats. Att separera dessa ger en tydlig bild av vilka kontroller som faktiskt gör skillnad.
Hur ofta ska riskanalysen uppdateras?
Minst årligen, men också vid väsentliga förändringar i verksamheten, IT-miljön eller hotbilden. En riskanalys som inte uppdaterats på över ett år speglar sannolikt inte verkligheten.
Hur kopplar man riskanalys till affärsbeslut?
Uttryck risker i termer styrelsen förstår: potentiell ekonomisk påverkan, verksamhetsavbrott i timmar/dagar, och regulatoriska konsekvenser. Undvik teknisk jargong och sannolikhetsprocent utan kontext.