Grunnprinsipper for sikkerhetsstyring
1. Identifisere og kartlegge
På hvilke måter kan en trusselaktør påvirke våre verdier? Scenarioer er tenkte situasjonsbeskrivelser hvor en trusselaktør forsøker å påvirke virksomhetens verdier. Verdivurderingene og trusselvurderingene er grunnlaget for å utarbeide scenarioer. Et scenario bør inneholde følgende beskrivelser:
- Hendelsesforløpet: Hva som inntreffer, når det inntreffer, hvor det inntreffer, hvordan det inntreffer
- Trusselaktørens intensjon (vilje) og kapasitet (evne)
- Hvordan verdiene rammes (f.eks. datainnbrudd, utilgjengelighet til data, korrupte data, bilbombe, avlytting, tyveri, osv.)
- Andre verdier som rammes indirekte (f.eks. liv og helse, miljø, økonomi eller omdømme).
- Mulig varsling av hendelsen i forkant (f.eks. fra etterretning, politiet, utpressere eller terrororganisasjon)
- Tidspunktet når trusselen rammer (f.eks. tidspunkt på døgnet eller året, under et arrangement, osv.)
- Hendelsens varighet
Hvorfor er dette viktig: Utarbeidelse av relevante scenario for sikkerhetstruende hendelser kan hjelpe virksomheten i arbeidet med å avdekke sårbarheter som en trusselaktør kan utnytte.
Anbefalte tiltak:
Virksomheten bør utarbeide scenarioer som er:
- Relevante – at det inneholder tilstrekkelig informasjon til å kunne være nyttig
- Konsistente – at noe som skjer et sted i scenarioet ikke utelukker noe som skjer et annet sted i scenarioet
- Plausible – at scenarioet er realiserbart, dvs. at det som scenarioet beskriver kan bli virkelighet