Alle laver risikoanalyser. Få gør dem rigtigt.
Risikoanalyse er grundstenen i NIS2-loven, ISO 27001 og i princippet alle sikkerhedsrammer, der findes. Alle ved, at det skal gøres. Men efter at have set hundredvis af risikomatricer kan jeg konstatere: de fleste giver et præcist billede af helt forkerte ting.
Problemet er ikke, at organisationer springer risikoanalysen over. Problemet er, at de gør den på en måde, der ikke giver reelt beslutningsgrundlag. Resultatet bliver et dokument, der ser professionelt ud i en mappe, men som aldrig påvirker en eneste beslutning.
Her er de fem mest almindelige fejl — og hvordan du undgår dem.
Fejl 1: Kopiere andres risikoregistre
Det er fristende at starte med en skabelon. Andres risikoregister, en branchestandardeksempler på risici, eller et konsulentfirmas prædefinerede liste. Problemet? Andres risici er ikke jeres risici.
En produktionsorganisation og en SaaS-leverandør har fundamentalt forskellige risikolandskaber. Selv inden for samme branche varierer risiciene afhængigt af størrelse, IT-miljø, kundestruktur og modenhed.
Rigtig fremgangsmåde: Start med jeres egne informationsstrømme. Hvilken information håndterer I? Hvor lagres den? Hvem har adgang? Hvilke processer er afhængige af den? Jeres risici opstår i gabet mellem informationens værdi og de trusler, der kan udnytte svagheder i, hvordan I håndterer den.
Fejl 2: Blande iboende risiko og kontroleffektivitet
Dette er den mest udbredte fejl. Organisationen vurderer en risiko som “lav” — men den er kun lav, fordi der allerede findes en kontrol på plads. Hvad sker der, hvis kontrollen holder op med at fungere? Hvis firewall-reglen ændres, hvis backup-tjenesten ophører, hvis den erfarne medarbejder stopper?
Når iboende risiko og kontroleffektivitet blandes i samme vurdering, mister I evnen til at forstå, hvad kontrollerne faktisk bidrager med. I ser ikke, hvor I er mest sårbare, hvis en kontrol fejler.
Adskil altid vurderingen i to trin:
- Iboende risiko — Hvor alvorlig er risikoen uden kontroller? Dette giver jer et billede af den underliggende trussel.
- Kontroleffektivitet — Hvor godt reducerer eksisterende kontroller risikoen? Dette viser, hvor jeres investeringer faktisk gør en forskel.
Forskellen giver jer restrisiko — den risiko, I faktisk lever med i dag. Det er den, der skal sammenlignes med jeres risikoappetit.
Fejl 3: Falsk præcision med multidimensionelle skalaer
En 5×5-matrix med sandsynlighed og konsekvens giver 25 mulige niveauer. Det ser præcist ud. Men hvis vurdererne ikke kan skelne mellem “sandsynlighed 3” og “sandsynlighed 4” på en konsistent måde, har I bare tilføjet støj til analysen.
Værre: mange organisationer bruger skalaer, hvor dimensionerne ikke er uafhængige. “Høj sandsynlighed og høj konsekvens” bliver automatisk “kritisk risiko” — men hvad hvis sandsynligheden er høj netop fordi konsekvensen er lav (og organisationen derfor ikke har prioriteret beskyttelse)?
Hvad der fungerer bedre:
- Brug færre niveauer (3×3 er ofte nok)
- Definer hvert niveau med konkrete eksempler relevante for jeres virksomhed
- Kalibrer ved at vurdere en række risici sammen, før I kører individuelt
- Accepter, at risikovurdering er et kvalificeret skøn, ikke en eksakt videnskab
Fejl 4: Risiko uden kobling til forretningspåvirkning
“Risikoen for uautoriseret adgang til systemet vurderes som middelhøj.” Fremragende. Og hvad betyder det for virksomheden? Intet, hvis vurderingen stopper der.
Ledelsen vil ikke høre sandsynlighedsniveauer. De vil vide: hvad koster det, hvis det sker? Hvor længe er vi nede? Hvilke kunder påvirkes? Hvilke regulatoriske konsekvenser udløses?
Koblingen mellem teknisk risiko og forretningspåvirkning er det, der gør risikoanalysen til et beslutningsgrundlag i stedet for et IT-dokument.
| Teknisk vurdering | Forretningssprog |
|---|---|
| ”Høj sandsynlighed for ransomware" | "30% risiko for 5 dages produktionsstop, estimeret omkostning 3–8 mio. DKK" |
| "Middel risiko for datalækage" | "Potentiel GDPR-bøde og tab af 2–3 nøglekunder" |
| "Lav risiko for DDoS" | "Maks 4 timers nedetid, begrænset forretningspåvirkning” |
Fejl 5: Engangsøvelse i stedet for levende proces
Det mest almindelige tidspunkt for en risikoanalyse? Lige før en revision, certificering eller tilsynskontrol. Derefter lægges den i en mappe indtil næste gang.
En risikoanalyse, der ikke er opdateret siden den blev lavet, afspejler et trusselsbillede, der ikke længere eksisterer. Nye systemer indføres, leverandører skiftes ud, trusselaktører ændrer taktik, organisationen omstruktureres. En statisk risikoanalyse er som en vejrudsigt fra sidste måned — den var korrekt, da den blev lavet, men den styrer ingen beslutninger i dag.
Nye systemer, leverandører, processer eller organisationsændringer skal udløse en omvurdering af berørte risici. Det behøver ikke at være en fuldstændig omarbejdning — fokuser på det, der er ændret.
Mindst årligt bør hele risikoregisteret gennemgås. Kvartalsvis gennemgang af de højest prioriterede risici giver endnu bedre styring.
Hver hændelse bør føre til en omvurdering af relevante risici. Hændelser giver jer faktiske data om trusselsbilledet — brug dem.
Et risikoregister, som kun risikoanalytikeren kan fortolke, driver ingen beslutninger. Gør det forståeligt for dem, der træffer beslutningerne — ledelsen.
Risikoanalyse, der driver beslutninger
En risikomatrix er ikke et mål i sig selv. Den er et værktøj til at træffe bedre beslutninger om, hvor organisationen skal lægge sine begrænsede ressourcer. Hvis jeres risikoanalyse ikke ændrer prioriteter, ikke påvirker budgetbeslutninger og ikke diskuteres på ledelsesniveau — så tjener den intet formål.
Spørg jer selv: hvornår var sidste gang et resultat fra risikoanalysen faktisk førte til en ændring? Hvis svaret er “aldrig” eller “jeg ved det ikke” — så er det tid til at omvurdere ikke bare risiciene, men processen.
Securapilots risikomodul bygger på ISO 27005 og adskiller iboende risiko fra kontrolvurdering — så jeres risikobillede faktisk afspejler virkeligheden og giver jer det beslutningsgrundlag, I har brug for.
Ofte stillede spørgsmål
Hvorfor fungerer risikomatricer ikke?
Risikomatricer kan fungere — hvis de bruges rigtigt. Problemerne opstår, når organisationer kopierer generiske risikoregistre, blander risikoniveauer med kontrolstatus, eller aldrig opdaterer vurderingen. En risikomatrix skal give beslutningsgrundlag, ikke bare et farvekodede billede.
Hvad er forskellen mellem iboende risiko og restrisiko?
Iboende risiko er risikoniveauet før kontroller anvendes. Restrisiko er den risiko, der resterer efter kontroller er implementeret. At adskille disse giver et klart billede af, hvilke kontroller der faktisk gør en forskel.
Hvor ofte skal risikoanalysen opdateres?
Mindst årligt, men også ved væsentlige ændringer i virksomheden, IT-miljøet eller trusselsbilledet. En risikoanalyse, der ikke er opdateret i over et år, afspejler sandsynligvis ikke virkeligheden.
Hvordan kobler man risikoanalyse til forretningsbeslutninger?
Udtryk risici i termer, som ledelsen forstår: potentiel økonomisk påvirkning, driftsforstyrrelser i timer/dage, og regulatoriske konsekvenser. Undgå teknisk jargon og sandsynlighedsprocenter uden kontekst.
