11 Risk- och konsekvensanalys

11.1 Initial riskanalys

En övergripande risk- och konsekvensanalys genomfördes i ett tidigt skede inom byggblocket. De identifierade riskerna och förslag på åtgärder finns dokumenterat på en skyddad lagringsyta hos DIGG.

Byggblocket påverkar och påverkas av utformningen av den förvaltningsgemensamma digitala infrastrukturen vilket visas i den dokumenterade riskanalysen. Dokumenterade risker, sårbarheter och hot bedöms i beskrivna scenarion kunna ge konsekvenser för hela den digitala infrastrukturen och behöver analyseras vidare. Förslag till åtgärder och hantering av risker, hot och sårbarheter i riskarbete har visat sig kunna minska sannolikheten och sänka konsekvenser om risken ändå inträffar på både kort och lång sikt.

Nettorisker, dvs de risker som inte hanterats visas som mörkare gråa ringar och bruttoriskerna visas som ljusare ringar med streckad kant.

Ramverket för organisationstillit påverkar stora delar av den förvaltningsgemsamma digitala infrastrukturen vilket visas i analysen. Flera risker bedöms kunna ge allvarliga konsekvenser för hela det digitala ekosystemet och bör analyseras och hanteras i det fortsatta arbetet.

Förslagen på hanteringen av bruttoriskerna visade sig reducera sannolikheten för att risken skulle inträffa men inte dess konsekvens om den ändå inträffar. Detta bör analyseras djupare.

Riskmatris figur

Ett fortsatt systematiskt informationssäkerhetsarbete kommer ske genom att löpande och kontinuerligt värdera sårbarheter, risker och hot inom byggblocket utifrån vilken etapp/fas byggblocket befinner sig i. Vi har även påbörjat riskarbetet av beroenden mellan byggblock inom den digitala infrastrukturen och mot grunddatadomänerna för att riskanalysera och fastställa robusthet och säkerhetsskydd för helheten i den digitala infrastrukturen.

11.2 Nya risker som identifierats

Nya risker har uppkommit över tid i detta projekt för att den risk- och konsekvensanalys som genomfördes gjordes i början på projektet och nu har både lång tid gått samt att ramverket ändrat inriktning därav nya risker.

  • Finansiering: Denna risk tenderar att eskalera över tid vid en otydlig eller för liten budget för att behålla resurser. En stor fördel är att försöka skapa kontinuitet i arbetet genom att skapa en homogen grupp som jobbar med detta.
  • Nyckelpersonsberoende: Alla projekt/arbeten tenderar till att bli nyckelpersonsberoende som är svåra att ta sig ur. Låter man detta gå för långt så blir det nästan omöjligt att byta ut någon ur en grupp på ett smärtfritt sätt.
  • Infrastrukturansvarig bedömer att ramverket inte ska implementeras: Risken om det inte implementeras blir att myndigheterna i Ena förlitar sig på den ”svenska tilliten”. Tilliten tenderar att urholkas över tid när yngre generationer ifrågasätter ”gamla sanningar” på ett mer naturligt sätt en de äldre.
    Den stora frågan är hur man säkerställer varumärket ”Ena” över tid?
  • Osäkert ansvar för förvaltningsaktiviteter: Osäkert ansvar över aktiviteter leder till att de kommer att ta längre tid att genomföras och kosta mer samt prioriteras ned mot övriga punkter. Får man dessutom en otydlig budget på det så kommer risken att eskalera ytterligare.

Senast uppdaterad: