Automation of the risk assessment process in small and medium-sized enterprises.

Abstract

Samtlige virksomheter er forpliktet til å foreta risikovurderinger, i henhold til Arbeidstilsynets lov 7-1. Gjennomgående krav til kartlegging og risikovurdering. Til tross for at Arbeidstilsynets beskrivelse og standardordninger kun inneholder fysisk risikovurdering, er det like viktig å gjøre digital risikovurdering. Gjennomføring av en digital risikovurdering vil hjelpe bedrifter med å fokusere på potensielle digitale risikoer, øke motstandsdyktighet mot angrep, og minimere skadeutfallet av potensielle trusler og angrep. Et møte med Olav Sønsteby, som er seniorrådgiver i NorSIS - http://norsis.no/, førte til en spennende diskusjon omhandlende digitale risikovurderinger. Han fortalte at han ikke kjente til noen tjenester som gir en mer atomatisert prosess eller et hjelpeverktøy for å gjennomføre risikovurdering, samt generere en rapport. Dette ble omtalt i sammenheng med små og mellomstore bedrifter, spesielt de som ikke har en dedikert IT-personell eller en slags type ekspert som kunne gi bedriften en godt strukturert og informativ risikovurdering på grunn av ingen kjennskap til eksempelvis ISO27000 seriens standarder. Olav mente også at mange virksomheter vil tjene stort på en slik tjeneste, samt øke den digitale sikkerheten i selskapet. Denne masteroppgaven vil ta opp dette problemet ved å fokusere på konstruksjonen av en slik automatisert tjeneste, samt teste denne tjenesten i ulike organisasjoner.

All businesses are obligated to undertake risk assessments, according to the Norwegian Labor Inspection Authority, legislation 7-1. Gjennomgående krav til kartlegging og risikovurdering (Consistent standards for mapping and risk assessment). Despite the fact that the Norwegian Labor Inspection Authority’s description and standard schemes only contain physical risk assessment, it is equally vital to do digital risk assessment. Conducting a digital risk assessment will assist companies in focusing on potential digital risks, allowing them to be more resilient against attacks, and allowing them to minimize the damage outcome of threats and attacks. A meeting with Olav Sønsteby, senior adviser at NorSIS - https://norsis.no/, resulted in an intriguing discussion regarding digital risk assessments. He stated that he is unaware of any services that provide a more automated process or a help-tool to conduct a risk assessment report that can assist small and medium-sized enterprises, particularly those without a dedicated IT crew or a type of expert who can provide the enterprise with a well-structured and informative risk assessment due to a lack of skills and knowledge within ISO27000 series standards. Furthermore, that many businesses would profit greatly from such a service, as well as increase digital security within the corporation. This master’s thesis will address this issue by focusing on the construction of such an automated procedure, which, if successful, will hopefully be tried in various organizations to determine if the tool is useful.