Inherent risk… residual risk… current risk? When your risk manager or regulatory affairs asks about your “inherent risk”, it highlights a fundamental flaw in qualitative risk assessments. Here’s why - and how to fix it. Although most of us engage in some form of risk...
Changing habits and mindsets take time and persistence. Especially within IT risk management. Again and again, we at ACI meet tonnes of objections to changing behaviour despite witnessing the benefits of moving from qualitative to quantitative. So, I felt...
"Loose Lips Sink Ships" stod der på en propagandaplakat fra Anden Verdenskrig. Det var et af budskaberne fra ”United States Office of War Information”, som bød befolkningen at undgå skødesløs snak, der kunne underminere krigsaktiviteter. Denne samme risiko er i dag...
Kommunikation er svær, også når det drejer sig om risiko for cyberangreb. Bestyrelse og direktion har brug for et klart beslutningsgrundlag, men ofte rammes der forbi med kommunikation, der er enten for teknisk eller for overordnet og abstrakt. Begge tilfælde er...
Hvad er fordelene ved kvantitative eller kvalitative risikovurderinger? Hvorfor og hvornår skal man vælge det ene fremfor det andet? Vi bringer her et gæsteindlæg fra Christian Willemoes, pensioneret CIO fra DLR Kredit, der deler sine betragtninger og erfaringer fra...
For organisationer med mange (adskillige hundreder) systemer kan kvantitativ IT-risikostyring være at sammenligne med vinduespudseren, der bliver bedt om at pudse FN’s hovedkvarter i New York. Han bliver aldrig færdig, før de første vinduer trænger igen. Processen med...
En helt klar dagsorden for organisationen er: “Forstå og nedbring risiko for cyberangreb”. Direktion og bestyrelse er efterhånden kommet med på den dagsorden og forstår, at vi har at gøre med en risiko, som de skal forholde sig til. Vi estimerer, at cyber kan...
En dygtig offshore-ingeniør, som jeg samarbejdede med, gav mig et konkret eksempel på anvendelse af risikoappetit. Højden på en boreplatform sættes efter lovgivning og standarder, men også efter virksomhedens risikoappetit. Hvor stor en bølge skal platformen kunne...
Hvis du er IT-ekspert og bliver bedt om at estimere, har du måske oplevet frustrationen ved at skulle estimere på baggrund af dårligt formulerede scenarier. Hvis du er risk manager og har skullet opbygge et risikoregister, har du måske også oplevet, at det...
Når man udtaler sig om fremtidige hændelser, er det i sagens natur behæftet med usikkerhed. En risikovurdering forsøger at forstå fremtidige tabshændelser, og er derfor også behæftet med usikkerhed. Jo mindre historik eller færre målinger jo større usikkerheden....