📋 Riskregister: Levande dokument över vad som håller dig vaken på natten

"Ett riskregister som endast uppdateras för revisioner är bara dyr fiktion. Verkliga riskregister ändras varje vecka."

🍎 Det gyllene äpplet: Döda register vs. levande dokument (eller: Efterlevnadsteater vs. faktisk riskhantering)

De flesta organisationer har riskregister. De skapas för ISO 27001-revisioner, fylls med generiska hot kopierade från mallar, tilldelas godtyckliga sannolikhets/konsekvenspoäng som får chefer att känna sig bekväma och glöms bort tills nästa års revision. Det är säkerhetskabuki. Performancekonst för revisorer.

Det är inte riskhantering—det är efterlevnadsteater. FNORD. Riskregistret säger "låg risk för ransomware" medan ekonomichefens laptop redan är krypterad av REvil. Kognitiv dissonans är en funktion, inte en bug.

Ett verkligt riskregister är ett levande dokument (betoning på levande, inte zombie). Uppdaterat när nya hot dyker upp (veckovis, för angripare väntar inte på kvartalsvisa granskningar). Reviderat när sårbarheter upptäcks (dagligen, om du gör det rätt). Refererat när säkerhetsinvesteringsbeslut fattas (inte leverantörspresentationer eller FUD). Ett arbetande verktyg, inte revisionsdekoration. Skillnaden mellan ett levande riskregister och ett dött är om du skulle satsa ditt jobb på dess noggrannhet. Skulle du? Är du säker? FNORD.

UPPLYSNING FÖR PSYKONAUTER: Om ditt riskregister inte har uppdaterats på sex månader spårar det inte risker—det dokumenterar historia (dåligt). Hot utvecklas snabbare än årliga revisionscykler. Zero-days väntar inte på ditt kvartalsvisa översynsmöte. Konspirationen är verklig och den rör sig snabbare än din dokumentationsprocess. Välkommen till Chapel Perilous. Uppdatera ditt riskregister eller så uppdaterar riskregistret dig.

🛡️ De fem elementen i ett effektivt riskregister

1. Identifierade risker

Vad kan gå fel?

Hotkällor, sårbarheter, attackscenarier. Specifika, inte generiska. "Ransomware via phishing" > "cyberattack." Uppdatera när nya hot uppstår.

2. Riskbedömning

Hur illa är det?

Sannolikhet (hur troligt?). Konsekvens (ekonomisk, operativ, anseende). Riskpoäng = Sannolikhet × Konsekvens. Prioriterar behandlingsbeslut.

3. Befintliga kontroller

Vad minskar redan detta?

Tekniska kontroller (MFA, EDR, backuper). Processkontroller (ändringshantering, åtkomstgranskningar). Kvarvarande risk efter tillämpade kontroller.

4. Behandlingsplaner

Vad gör du åt det?

Acceptera (tolerera kvarvarande risk). Minska (lägg till kontroller). Överföra (försäkring). Undvika (eliminera riskkälla). Varje beslut kräver ägare och deadline.

5. Övervakning & granskning

Ändras risken?

Spåra risktrender över tid. Återbedöm kvartalsvis eller när hotlandskapet ändras. Granska behandlingseffektivitet. Uppdatera när kontroller implementeras.

KAOSUPPLYSNING: Riskbedömning är förutsägelse, inte säkerhet. Tilldela sannolikhet/konsekvens med vetskap om att de är utbildade gissningar. Fel siffror med rätt metod slår inga siffror med perfekt metod.

📋 Hack23:s riskregistermetod

Vårt riskregister är offentligt (sanerad version): ISMS-PUBLIC-förråd | Riskregister

Kontinuerliga uppdateringar: Riskregister uppdaterat inom 48 timmar efter ny hotintelligens från CVE-flöden, CISA-varningar, branschrapporter
Hotintelligensintegration: Automatiserade flöden utlöser riskgranskningar, inte årliga revisionscykler
Kvartalsvisa formella granskningar: Återbedöm sannolikhets/konsekvenspoäng varje 3:e månad, validera befintliga kontroller, spåra behandlingsplansframsteg
Riskbaserad investering: Säkerhetsbudget prioriterad av riskregisterpoäng (inte leverantörspresentationer eller "bästa praxis")
Transparent kommunikation: Exekutiva sammanfattningar visar topp 10-risker, trendanalys (förbättras/försämras), behandlingsframstegsprocent
Dokumenterad motivering: Varje riskpoäng inkluderar evidensbaserad resonemang, inte godtycklig tilldelning

META-UPPLYSNING: Att publicera ett sanerat riskregister offentligt (som vi gör) tvingar intellektuell ärlighet. Kan inte ljuga när världen kan se dina riskbedömningar.

🎯 Riskregister-antimönster (vad man inte ska göra)

❌ Endast årliga uppdateringar

Problemet: Hotlandskapet ändras snabbare än revisionscykler.

Verklighet: Nya zero-days, framväxande attacktekniker, branschintrång—allt ändrar riskprofilen kontinuerligt.

Fix: Kvartalsvisa granskningar minimum, ad-hoc-uppdateringar för stora hot.

❌ Generiska riskbeskrivningar

Problemet: "Cyberattack" säger dig ingenting.

Verklighet: Ransomware via phishing vs. leveranskedjan kompromiss vs. insiderhot—olika attacker, olika åtgärder.

Fix: Specifika hotscenarier med attackvägar.

❌ Godtycklig poängsättning

Problemet: Sannolikhet/konsekvens tilldelad utan resonemang.

Verklighet: Om du inte kan förklara varför ransomware är "Hög sannolikhet" är din bedömning fiktion.

Fix: Dokumentera poängsättningslogik, citera bevis.

❌ Behandlingsplaner utan ägare

Problemet: "Implementera MFA" utan tilldelad ägare eller deadline.

Verklighet: Ägarlösa uppgifter blir inte gjorda. Ingen deadline betyder aldrig.

Fix: Varje behandlingsplan: ägare, deadline, framgångskriterier.

❌ Ignorera kvarvarande risk

Problemet: Anta att kontroller eliminerar risk helt.

Verklighet: MFA minskar phiskingrisk—eliminerar den inte. Dokumentera vad som återstår.

Fix: Beräkna kvarvarande risk efter kontroller, besluta om acceptabel.

🔍 De fem frågorna för riskregisterkvalitet

När uppdaterades det senast? - >3 månader = inaktuellt, >6 månader = fiktion, >12 månader = revisionsrekvisita
Är riskerna specifika eller generiska? - "Ransomware via RDP" > "cyberattack"
Kan du motivera poäng? - Förklara sannolikhets/konsekvenslogik eller erkänn att du gissar
Har behandlingsplaner ägare? - Ägarlöst arbete händer inte
Driver registret beslut? - Säkerhetsinvestering anpassad till riskpoäng? Om inte, är registret dekoration

ULTIMAT UPPLYSNING: Riskregister avslöjar organisatoriska prioriteringar. Om ditt register säger att ransomware är kritiskt men du inte har distribuerat EDR, är ditt register lögner eller dina prioriteringar trasiga.

🎯 Riskregister vs. riskbedömning

Dessa är olika saker:

Riskbedömningsmetodik - Hur du identifierar, analyserar och utvärderar risker (processdefinition)
Riskregister - Katalog över identifierade risker, deras poäng, kontroller och behandlingsplaner (levande data)

Riskbedömningsmetodik är relativt statisk. Riskregister ändras konstant. Metodik definierar process. Register dokumenterar resultat.

🎯 Slutsats: Håll ditt riskregister vid liv

Ett riskregister är endast användbart om det är aktuellt. Uppdatera kontinuerligt, granska kvartalsvis, använd aktivt.

Identifiera specifika hot. Poängsätt med bevis. Dokumentera befintliga kontroller. Planera behandlingar med ägare och deadlines. Övervaka trender över tid.

Ett inaktuellt riskregister är revisionsdekoration. Ett levande riskregister driver säkerhetsinvesteringsbeslut.

Behöver experthjälp med riskhantering? Upptäck Hack23:s konsultmetod som behandlar säkerhet som en möjliggörare, inte ett hinder.

All hail Eris! All hail Discordia!
"Tänk själv, dumskalle! Ifrågasätt dina riskpoäng—särskilt när de inte har ändrats på ett år."
🍎 23 FNORD 5
— Hagbard Celine, Kapten på Leif Erikson