«Høy risiko for…», «dette er en rød risiko», «risikoen er 5». Hørt det før? Kanskje til og med sagt noe slikt? Du er ikke alene. Særlig innen cyber/informasjonssikkerhetsdomenet er dette en vanlig måte å kommunisere risiko, eller kanskje oppsummere en risikovurdering på.
Spørsmålet er om det er fruktbart å kommunisere risiko på denne måten, eller om det bare en arvet måte å gjøre det på som kraftig forstyrrer det vi ønsker å formidle. Vil risikomatrisen kunne bidra til at vi gjør uheldige beslutninger, eller fokuserer på mindre viktige ting?
Svaret på dette er et utvetydig «ja». Risikomatrisen fremstiller uønskede hendelser på en måte som ikke gir rom for beslutningstagere til å sammenligne dem:
Det ser kanskje ut som om det er sammenlignbart, men to risikoer som havner i samme rute kan ha svært ulik betydning for virksomheten, og to risikoer som begge har kombinasjonen «middels x høy» kan være svært ulike. Hvis du måtte prioritere risikoene i matrisen over fordi du hadde ressursmangel, hvordan ville du gjort det?
Denne måten å fremstille risiko på gir i liten grad støtte til beslutningstagere. Selv om hver risiko blir beskrevet i detalj blir det vanskelig å prioritere, for det er ingen holdepunkter på hva som er «verst». I tillegg har de potensielt innbyrdes avhengighet, og kanskje lar det seg ikke gjøre å vite hvilken virkning et tiltak for å redusere risiko vil ha.
Noen selskaper jeg har arbeidet for har videreutviklet risikomatrisen på en sånn måte at det har blitt et beslutningsstøtteverktøy i seg selv. For eksempel betyr «rød risiko» at alle må til pumpene, ingen går hjem før risikoen er redusert. En god tanke, men med problemene beskrevet ovenfor kan man spørre seg om et slikt verktøy faktisk gir noen god beslutningsstøtte.
Mange virksomheter jeg har fulgt over flere år velger å leve med både røde, gule eller til og med oransje(!) risikoer i matrisen. Hva forteller dette oss? Trolig at risikomatrisen er uten tidsavgrensning og dermed påvirker beslutningsevnen. Den egentlige synderen er nok likevel sannsynlighetsvurderingen. For det er denne vurderingen som er gjennomført uten å bruke en forståelig tidshorisont på sannsynligheten for at noe skal skje. Når det dukker opp en «rød risiko» vil det umiddelbart komme en sense of urgency i ledergruppen. At det haster betyr at tidsdimensjonen plutselig har dukket opp. Men selv om det er en rød risiko, for eksempel en kombinasjon av svært høy sannsynlighet og katastrofal konsekvens (sett gjerne inn egne begrep), når kan vi vente oss at det skjer? Om en time? I løpet av dagen? Innen en uke? Et år? Det vil trolig gjøre noe med ledergruppens vilje til å bli sittende igjen på kontoret for å redusere risikoen om det forventes at hendelsen/den røde risikoen vil slå til innenfor en tidshorisont på 6 måneder, og ikke nødvendigvis her og nå.
Sannsynlighetsvurderingen som normalt benyttes i denne type matrise er i all hovedsak basert på synsing. Synsing fra en ekspert kanskje, men like fullt synsing. Hvorfor går ikke CISO eller andre som benytter risikomatrisen mer systematisk til verks? Det er fullt mulig å vurdere hva en sannsynlighet for at noe skal inntreffe er, selv basert på få eller ingen historiske data.
De som særlig arbeider med informasjonssikkerhet bør bli langt mer systematiske og faktaorienterte i sin tilnærming til fagfeltet. Det er mulig å få oversikt over hvor virksomhetens verdier befinner seg selv om det er et sted i teknologien. Det går an å si noe konkret om sannsynligheten for at noe uønsket skal skje og konsekvensen av det.
Det går til og med an å si hva usikkerheten i vår vurdering faktisk er.
Det går også an å formidle hvordan risiko konkret blir redusert dersom ulike tiltak blir gjennomført. Det er også mulig å lage indikatorer som kan fortelle oss mer om hva sannsynligheten for en fremtidig hendelse er.
Forfatter Kim Johnny Mathisen
