På hvilke måter kan en trusselaktør påvirke våre verdier? Scenarioer er tenkte situasjonsbeskrivelser hvor en trusselaktør forsøker å påvirke virksomhetens verdier. Verdivurderingene og trusselvurderingene er grunnlaget for å utarbeide scenarioer. Et scenario bør inneholde følgende beskrivelser:

  • Hendelsesforløpet: Hva som inntreffer, når det inntreffer, hvor det inntreffer, hvordan det inntreffer
  • Trusselaktørens intensjon (vilje) og kapasitet (evne)
  • Hvordan verdiene rammes (f.eks. datainnbrudd, utilgjengelighet til data, korrupte data, bilbombe, avlytting, tyveri, osv.)
  • Andre verdier som rammes indirekte (f.eks. liv og helse, miljø, økonomi eller omdømme).
  • Mulig varsling av hendelsen i forkant (f.eks. fra etterretning, politiet, utpressere eller terrororganisasjon)
  • Tidspunktet når trusselen rammer (f.eks. tidspunkt på døgnet eller året, under et arrangement, osv.)
  • Hendelsens varighet

Hvorfor er dette viktig: Utarbeidelse av relevante scenario for sikkerhetstruende hendelser kan hjelpe virksomheten i arbeidet med å avdekke sårbarheter som en trusselaktør kan utnytte.

Anbefalte tiltak:

Virksomheten bør utarbeide scenarioer som er:

  • Relevante – at det inneholder tilstrekkelig informasjon til å kunne være nyttig
  • Konsistente – at noe som skjer et sted i scenarioet ikke utelukker noe som skjer et annet sted i scenarioet
  • Plausible – at scenarioet er realiserbart, dvs. at det som scenarioet beskriver kan bli virkelighet