ITWatch
Klummer

Klumme: IT-risikomatricer - den mest anvendte metode der ikke virker

Risikomatricer til it-risikovurdering giver en farlig illusion om kontrol. De føles videnskabelige, men er det ikke. Faktisk kan du ende med at skabe risici, skriver Bo Thygesen, Partner & Direktør hos ACI i denne klumme.
Foto: PR
Foto: PR
AF BO THYGESEN, PARTNER & DIREKTØR HOS ACI

En hurtig, enkel løsning på et kompliceret problem. Ja, det lyder godt, men med risikomatricer er det nærmere for godt til at være sandt.

Problemet med risikomatricer som rød-gul-grøn-kommunikation og verbale skalaer er, at de føles videnskabelige. Før havde du ingen idé om risici, men nu har du lagt dem i pæne kasser og givet dem karakterer og farver. Du forstår og styrer dine risici, men det er en illusion.

Der er tre essentielle problemer med risikomatricer: range compression, menneskelige og psykologiske problemer samt illusionen om uafhængighed.

Mange scoringsmetoder presser et stort udfaldsrum ned i nogle fastlagte trin, typisk tre eller fem trin. Modellerne ender med at blive alt for grovkornede til at kunne illustrere virkeligheden. Cyberangreb kan spænde fra at være meget ‘billige’ til at være ekstremt ‘dyre’, men hvordan vil man repræsentere dette meget store udfaldsrum i en matrice?

Det andet problem med risikomatricer er illusionen om ensartede intervaller. Virkeligheden derimod vil ofte ikke afspejle denne kasseinddeling eller regelmæssighed. Oven i det tolker mennesker ikke hændelser ens, hvilket kan skabe stor spredning og uenighed.

Sidste problem er illusionen om uafhængighed. Ofte glemmes risici indbyrdes afhængighed, når man arbejder med de enkelte risici. Men to risici, som hver vurderes medium-konsekvens, medium-sandsynlighed, kan have en højere samlet risiko, hvis de indtræffer samtidigt.

Tre spørgsmål til dine værktøjer til IT-risikovurdering

Alle modeller er forkerte – nogle modeller er brugbare. Det skal vi minde os selv om, når vi arbejder med it-risikovurdering. Ellers kan vi ende med analyseplacebo og i nogle tilfælde introducere risiko i vores arbejde.

Derfor vil jeg foreslå, at du altid stiller tre spørgsmål til dine værktøjer til it-risikovurdering

1. Hvordan bruger jeg modellen, hvis en hændelse befinder sig mellem to trin?

2. Hvordan viser modellen relationen mellem de enkelte IT-risici?

3. Hvor finmasket er modellen?

Hvis du kan høre cikader, når du spørger om disse ting, så vælg et andet værktøj. Hvis du får troværdige svar, så er du godt på vej til at minimere dine IT-risici.

Klumme: Det digitale sundhedsvæsen kræver stærkere cybersikkerhed i fremtiden

Klumme: It-branchen kan ikke læne sig tilbage og stadig være attraktiv


Relaterede artikler:

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

!
Nyhedsbrevsvilkår

Forsiden lige nu

Læs også

HP efter stor rokade: Vi står et godt sted

For abonnenter