DEBATT | Markus Christian Kiledal

BALANSE: Jeg vil utfordre Afradis underliggende premiss: at risikostyring er en ressurskrevende øvelse som i mange tilfeller kan utelates og at virksomhetene kan gå rett på tiltak. For selv når man forsøker å unngå risikovurdering, skjer den likevel, i store og små valg som må tas. Det skriver Markus Kiledal i dette innlegget.

Risikostyring er nødvendig

Markus Kiledal kommer med tilsvar til artikkelen «Risikostyring har blitt Keiserens nye klær» som ble publisert i Computerworld 10.09.2025.

Markus Christian Kiledal Markus Christian Kiledal Markus Christian Kiledal Senior Manager, KPMG, Cyber & Security
Publisert

Karl Stefan Afradis debattinnlegg om risikobasert tilnærming i cybersikkerhet er både velskrevet og tankevekkende. Jeg deler hans syn om at dette er en øvelse som har sine begrensninger og svakheter, og at mange virksomheter dessverre går seg litt bort i krevende analyseprosesser.

Men jeg vil utfordre Afradis underliggende premiss: at risikostyring er en ressurskrevende øvelse som i mange tilfeller kan utelates og at virksomhetene kan gå rett på tiltak. For selv når man forsøker å unngå risikovurdering, skjer den likevel, i store og små valg som må tas. Hvis man unngår den tidlige og strukturerte tilnærmingen, så tvinger den seg frem ustrukturert ved de mange korsveiene implementeringsteamet møter.

La meg starte med hva jeg legger i risikostyringens hensikt. Risikostyring dreier seg om å sikre den riktige balansen mellom det å skape verdi på den ene siden, og unngå tap på den andre. Jeg er også opptatt av at sikkerhet er et lederansvar. Å fastsette denne «riktige balansen» er derfor en del av lederansvaret i virksomheten.

Markus Christian Kiledal, Senior Manager KPMG, Cyber & Security.

Risikovurdering skjer uansett

I innlegget fremheves det at virksomheter bør «iverksette og verifisere at det er gode rutiner for god sikkerhetsfaglig praksis som blant annet tilgangsstyring, oppdatering, vedlikehold, sikkerhetskopiering og sikkerhetsovervåkning» før de vurderer risiko. Det er et godt poeng. Men hvor ofte skal man ta sikkerhetskopi? På hvor mange medier? Skal man bruke beste praksis, eller er det for krevende? Skal tilgangsstyring understøttes av et verktøy? Hvilket verktøy skal velges?

Disse valgene krever vurderinger, og det er nettopp det risikostyring handler om. Uten en strukturert tilnærming risikerer man at slike beslutninger tas ad hoc, basert på magefølelse eller tilfeldigheter. Det gir lavere kvalitet og mindre sporbarhet.

Roar Thon beskriver dette fint i en av siste episode av NSM sin podcast om sikkerhet:

«Det er forskjell på om du heter Kongsberg Defence & Aerospace eller om du heter Florine blomster og selger blomster på hjørnet».

Forfatteren anerkjenner at det finnes slike forskjeller, men hevder at de fleste virksomheter mer eller mindre befinner seg i identiske risikolandskap og at denne stort sett kan håndteres likt. Gitt min forståelse av hva risikostyring dreier seg om, er jeg uenig. Avhengighetene varier og virksomheter har ulike verdier, noen virksomheter vil oppleve enorme konsekvenser ved driftsavbrudd på IT-siden, mens andre kan tåle det bedre. Videre er virksomheter unike systemer som har forskjellige sårbarheter – som krever ulike tiltak.

Risikostyring dreier seg om å sikre den riktige balansen mellom det å skape verdi på den ene siden, og unngå tap på den andre.

Så skal jeg heller ikke være vanskeligere enn at jeg forstår Afradi sitt poeng om at enkelte tiltak kan være såpass grunnleggende og endimensjonale at de bare burde implementeres. Likevel opplever jeg at virkeligheten er slik at det er mange oppfatninger av hva som inngår i grunnleggende tiltak, og at det ikke alltid er en bred enighet om hva disse begrenser seg til å være.

Rammeverk er ikke fiender, men hjelpemidler

Afradi peker på at mange rammeverk krever høy modenhet og kompetanse. Det er riktig. Men rammeverk er ikke ment å være en byrde, men er verktøy for å sikre konsistens og sporbarhet. Å velge et rammeverk tilfeldig er lite metodisk. Å velge et rammeverk som best dekker virksomhetens behov, det er også risikovurdering.

LES OGSÅ:

Noen virksomheter er så «heldige» at de er pålagt noen tiltak gjennom for eksempel sektortilhørighet. Da kaller vi ofte de pålagte tiltakene for grunnsikring. Realiteten er at en myndighet da har gjort risikovurderingen for oss og bestemt: «Denne virksomhetens funksjon er for viktig, følgende minimumstiltak må derfor på plass».

Risikostyring handler om beslutningsstøtte for å oppnå balanse

Afradi skriver at risikostyring krever riktige data og teknisk forståelse. Det er sant. Men det er nettopp derfor risikostyring er viktig: for å sikre at tiltakene vi velger faktisk gir den sikkerheten vi tror de gir. Uten risikostyring og spesielt risikovurdering, risikerer vi å bruke ressurser på feil tiltak, eller å overse kritiske sårbarheter.

Risikostyring handler som nevnt om å finne den riktige balansen mellom verdiskaping og tapsforebygging. Å fastsette denne balansen er et lederansvar som verken sikkerhetsfolkene eller IT-folkene skal eie alene.

Undertegnede er enig med Afradi i at vi må unngå at risikostyringsaktiviteter blir et for stort hinder for å få på plass gode tiltak. Et grep kan være å avmystifisere risikovurderingen. Den behøver ikke være en så krevende prosess. Besvar beslutningsproblemet med de rammevilkårene som foreligger, bruk etablerte metoder eller standarder som støtte. I beste fall har du redusert usikkerheten sammelignet med alternativet, som er å gjette. I verste fall er usikkerheten ikke redusert, men du har gitt det et forsøk.

Jeg vil til slutt berømme Karl Stefan Afradi for å løfte en viktig debatt. Hans innlegg legger vekt på handling og minner oss om NSMs mantra fra deres siste årlige risikorapport: «Fra godt sagt, til godt gjort».

 

cybersikkerhet computerworld risikostyring debatt