Webinar – Styrk din risikokommunikation

af | apr 3, 2025 | Nyheder, Viden

Hvordan forklarer du it- og cyberrisici, så direktion og bestyrelse forstår – og handler?

Det spørgsmål tog vi fat på i dette webinar, hvor vi viser, hvordan du med kvantitative metoder kan styrke risikokommunikation, synliggøre usikkerhed og gøre cyberrisiko relevant for forretningen.

Webinaret er målrettet CISOer, risikoejere og it-ledere, der vil kommunikere mere effektivt til toppen af organisationen.

Se webinaret
Download slides

HVAD DU FÅR MED FRA WEBINARET:

  • Hvorfor klassiske risikomodeller ofte misforstås i ledelsesrummet
  • Hvordan du opbygger en kvantitativ risikomodel, der kan forklares og forsvares
  • Hvilke typer data og observationer der reelt gør en forskel
  • Konkrete eksempler på anvendelse i praksis – fx i forhold til forsikring, DORA og strategisk beslutningsstøtte

Nedenfor kan du ligeledes læse en opsummerende artikel om de primære områder fra webinaret:

HVAD DU FÅR MED FRA WEBINARET:

  • Hvorfor klassiske risikomodeller ofte misforstås i ledelsesrummet
  • Hvordan du opbygger en kvantitativ risikomodel, der kan forklares og forsvares
  • Hvilke typer data og observationer der reelt gør en forskel
  • Konkrete eksempler på anvendelse i praksis – fx i forhold til forsikring, DORA og strategisk beslutningsstøtte

VIL DU SELV I GANG?

Styrk din nøjagtighed. Brug vores kalibreringstest til at træne din vurderingsevne og få feedback.

Læs om og tag testen her

Derudover kan du også få et overblik over alle kommende webinarer og seminarer her.

 

Opsummerende artikel

Fra farvekoder til forretningssprog

Sådan styrker du risikokommunikationen med kvantitative metoder

Mange sikkerheds- og risikoejere kender til udfordringen: Der præsenteres en risikorapport med rød, gul og grøn. Truslen beskrives som høj. Organisationen lever op til 79 ud af 84 kontroller. Alligevel falder spørgsmålet prompte fra bestyrelsen:

“Hvad betyder det for os – konkret?”

Når risici ikke oversættes til forretningens sprog, bliver det vanskeligt for ledelsen at sammenligne cyberrisiko med andre væsentlige forretningsmæssige prioriteringer. Det øger risikoen for fejlinvesteringer, manglende forankring – eller forkerte beslutninger.

Risiko skal kunne forklares og forsvares

Effektiv risikokommunikation handler ikke om at levere mere information – men om at skabe mere mening.

Ved at kvantificere risici i form af estimerede tab, sandsynligheder og konsekvensniveauer kan man:

  • Forklare den økonomiske betydning af cybersikkerhed

  • Sammenligne cyber med andre risikoområder

  • Understøtte prioritering og budgettering

  • Synliggøre effekten af tiltag og investeringer

I stedet for at tale i generelle vendinger, kan man fx sige: “Vores forventede gennemsnitlige tab er 6,4 mio. kr. om året. Der er 5% sandsynlighed for, at vi oplever et tab på over 20 mio. kr.”

Det er et sprog, ledelsen kan handle på.

Fra målinger til mening

Kvantificering kræver ikke perfekte data. Det handler om at starte med det, man ved – og præsentere usikkerhed som en del af analysen. Estimater udtrykkes som intervaller (fx “sandsynligheden ligger mellem 2 og 10%”), og usikkerheden modelleres eksplicit med Monte Carlo-simuleringer.

Observationer og målinger kan være:

  • Andel af systemer med opdateringer

  • Kvaliteten af beredskabsøvelser

  • Organisationsstruktur og roller

  • Historiske hændelser eller interne fejl

Målet er ikke at måle alt – men at måle det, der flytter noget. F.eks. vil dårlige beredskabsøvelser give længere nedetid – og dermed større produktivitetstab.

Fælles forståelse på tværs

Når risiko udtrykkes i konsekvens og sandsynlighed – og i kroner frem for farver – bliver det muligt at etablere et fælles sprog. Dermed kan strategi og teknik mødes:
Ledelsen kan prioritere, teknikere kan implementere, og risikoejere kan følge op.

Ved at koble kvantitative estimater med kendte rammeværk som ISO 27001, NIST eller DORA, kan man både skabe dokumentation, tydeliggøre modenhedsniveauer og benchmarke sig mod andre i branchen.

Usikkerhed er en styrke

Risikomodeller, der viser usikkerhed, er mere troværdige end dem, der ignorerer den. Risiko er – per definition – forbundet med usikkerhed. Ved at gøre den synlig, får organisationen mulighed for at forholde sig til den og træffe informerede beslutninger.

Man behøver ikke være statistiker for at bruge metoderne – der findes værktøjer, hvor man blot indtaster sine estimater og får output i form af tabskurver, fordelingsgrafer og nøgletal.

Praktiske anvendelser

Kvantificeret risikomodel giver værdi i flere sammenhænge:

  • Cyberforsikring: Vurdér, om virksomheden er over- eller underforsikret i forhold til de værst tænkelige hændelser.

  • Efterhændelsesopgørelse (f.eks. ifm. DORA): Kvantificér omkostninger til fx produktivitetstab, tabt indtjening og genopretning.

  • Worst-case-scenarier: Udforsk økonomisk påvirkning under forskellige betingelser – og hvornår tabene materialiserer sig.

  • Investeringer og beslutningsstøtte: Brug modellerne til at sammenligne mulige investeringer i cloud, sikkerhed, systemer og kompetencer.