Risikoanalyse av IT-systemer

Abstract

Oppgaven tar for seg noen etablerte risikoanalyser og veiledninger for å studere hvordan en i dag analyserer IT-risiko. Det vil innledningsvis bli gitt en gjennomgang av disse rapportene som da vil være grunnlaget for videre diskusjon. Et aspekt som det viser seg har fått lite plass i disse rapportene er usikkerhet. Dette vil være usikkerhet knyttet til konsekvens og tilhørende sannsynlighet.

Risiko forbundet med IT-systemer har i de siste årene økt med høy takt. I dagens samfunn består veldig mange tjenester av store og komplekse systemer alt i fra middagsplanleggings-app for smarttelefoner, til signering og godkjenning av juridiske dokumenter ved hjelp av BankID. Alle disse systemene medbringer risikoer som bør analyseres.

Gjennom et eksempel som omhandler Tingenes internett og videre smart hus vil en legge frem forslag og argumenter for at det vil være hensiktsmessig å endre på hvordan risiko blir definert innenfor IT-bransjen. Det vil være fordelaktig å gå fra en definisjon som tar for seg uønskede hendelser med konsekvenser og tilhørende sannsynligheter til et syn hvor en også inkorporerer usikkerhet. Det vil si en definisjon på risiko som en todimensjonal kombinasjon av hendelsen A og konsekvensen av denne, C, på den ene siden og de tilhørende usikkerhetene på den andre siden, (Aven, 2008). Eksempelet viser at en ved å endre definisjonen på risiko kan få en bedre risikoanalyse som gir mer nyttig informasjon, som igjen gir en bedre beslutningsgrunnlag.