Kvalitativ och kvantitativ riskanalys – välj rätt metod

Kvalitativ riskbedömning

Kvalitativ analys klassificerar risker i kategorier – typiskt hög, medel, låg – baserat på expertbedömningar och erfarenhet. Metoden är snabb att genomföra och fungerar väl i tidiga skeden eller för organisationer med begränsad datamognad. Nackdelen är att den är subjektiv: två bedömare kan komma till helt olika slutsatser om samma risk.

Kvantitativ riskbedömning

Kvantitativ analys sätter siffror på sannolikhet och konsekvens, ofta uttryckt som förväntad årlig förlust (ALE). Metoder som FAIR (Factor Analysis of Information Risk) ger en strukturerad modell för att estimera frekvens och magnitud av förlustscenarier. Resultaten är mer försvarbara i styrelserummet, men kräver dataunderlag som många organisationer inte har samlat in.

Vår rekommendation

Kombinera metoderna. Starta med kvalitativ bedömning för att identifiera och grovprioritera risker, och fördjupa dig kvantitativt på de 10–15 risker som hamnar i den högsta kategorin. Det ger ett beslutsunderlag som är både hanterbart och trovärdigt.

Fem konkreta riskområden vid molnadoption

1. Säkerhetsrisker i molnmiljön

Molnleverantörernas infrastruktur är i grunden robust, men konfigurationsfel är den vanligaste orsaken till säkerhetsincidenter vi hanterar. Öppna S3-buckets, alltför breda IAM-roller och avsaknad av nätverkssegmentering – inget av detta är molnleverantörens fel. Shared responsibility-modellen innebär att du ansvarar för säkerheten i molnet, medan leverantören ansvarar för säkerheten av molnet.

Riskbedömningen bör kartlägga:

• Identitets- och åtkomsthantering (IAM-policyer, MFA, privilegierade konton)
• Dataskydd i transit och i vila (kryptering, nyckelhantering)
• Nätverksexponering (publika endpoints, VPC-konfiguration)
• Loggning och övervakning (är CloudTrail/Azure Monitor aktiverat och korrekt konfigurerat?)

2. Regelefterlevnad och juridiska risker

GDPR ställer krav på att personuppgifter behandlas med adekvata skyddsåtgärder, inklusive vid överföring till tredje land. NIS2-direktivet, som trädde i kraft 2024, skärper kraven på riskhantering för väsentliga och viktiga entiteter – med personligt ansvar för ledningen.

Integritetsskyddsmyndigheten (IMY) har visat ökad aktivitet i tillsyn av molnanvändning, särskilt gällande tredjelandsöverföringar efter Schrems II. En riskbedömning bör explicit dokumentera:

• Var data lagras geografiskt (eu-north-1 i Stockholm eller Sweden Central i Azure är ofta utgångspunkten)
• Vilka personuppgifter som berörs och rättslig grund för behandlingen
• Leverantörens certifieringar (SOC 2, ISO/IEC 27001) och vad de faktiskt täcker
• Avtal om databehandling (DPA) och standardavtalsklausuler (SCC)

Molnsäkerhet

3. Leverantörsinlåsning och exit-strategi

En risk som systematiskt underskattas. När du bygger på leverantörsspecifika tjänster – AWS Lambda, Azure Cosmos DB, Google BigQuery – ökar funktionaliteten, men migrationskostnaden vid byte stiger exponentiellt. Riskbedömningen bör inkludera en realistisk kostnadskalkyl för att flytta kritiska arbetsbelastningar till en alternativ leverantör.

Det handlar inte om att undvika alla proprietära tjänster (det vore kontraproduktivt), utan om att fatta medvetna beslut om var inlåsning är acceptabel och var den inte är det.

4. Driftskontinuitet och tillgänglighet

Molnleverantörer erbjuder höga SLA:er, men de gäller per tjänst och region – inte för din applikation som helhet. En riskbedömning bör identifiera single points of failure i din arkitektur och bedöma om din disaster recovery-plan fungerar i praktiken, inte bara på papper.

Vi rekommenderar att inkludera:

• RTO (Recovery Time Objective) och RPO (Recovery Point Objective) per system
• Multi-AZ eller multi-region-arkitektur för kritiska tjänster
• Regelbundna DR-tester – inte bara dokumenterade planer

5. Kostnadsrisker

Flexeras State of the Cloud-rapport har konsekvent visat att kostnadshantering är den största utmaningen för molnanvändare. Obegränsad elasticitet innebär obegränsad kostnadspotential. Riskbedömningen bör inkludera scenarier för kostnadsspiraler – vad händer om en utvecklare snurrar upp GPU-instanser som glöms bort? Vad kostar en DDoS-attack i ren compute-kostnad?

Cloud FinOps

Ramverk och standarder – välj ett, genomför det ordentligt

Organisationer som försöker implementera tre ramverk parallellt slutar ofta med att inget av dem genomförs fullständigt. Välj ett primärt ramverk och komplettera med molnspecifika kontroller.

NIST CSF fungerar bra som övergripande ramverk med molnleverantörens eget arkitekturramverk som komplement. ISO/IEC 27001 adderar certifieringsbarhet om verksamheten kräver det.

Molnmigrering

Så genomför du riskbedömningen – steg för steg

Steg 1: Tillgångsinventering och klassificering

Kartlägg alla system, data och processer som berörs av molnadoptionen. Klassificera dem efter affärskritiskhet och datakänslighet. Det här steget avslöjar ofta system som ingen visste fanns – shadow IT som redan kör i molnet.

Steg 2: Hotidentifiering

Identifiera relevanta hot per tillgång. Använd branschspecifika hotkällor (MITRE ATT&CK for Cloud, CSA Top Threats) snarare än generiska hotlistor. Fokusera på hot som är realistiska givet er bransch och exponering.

Steg 3: Sårbarhetsbedömning

Utvärdera befintliga kontroller och identifiera luckor. Automatiserade verktyg (vulnerability scanners, CSPM-lösningar) kompletteras med manuell granskning av arkitektur och processer.

Steg 4: Riskberäkning och prioritering

Kombinera sannolikhet och konsekvens till en risknivå. Prioritera baserat på affärspåverkan, inte teknisk allvarlighetsgrad. En medelstor sårbarhet i ett affärskritiskt system kan vara viktigare än en kritisk sårbarhet i ett testsystem.

Steg 5: Riskbehandlingsplan

Varje identifierad risk får en av fyra behandlingar: mitigera, överföra (försäkring, avtal), acceptera (dokumenterat beslut) eller undvika (avstå från aktiviteten). Tilldela ägare och tidplan.

Managerade molntjänster

Opsios perspektiv: vad vi ser i praktiken

Från vår SOC/NOC i Karlstad och Bangalore, med dygnet-runt-övervakning av kundmiljöer, ser vi mönster som sällan syns i ramverksdokumenten:

Konfigurationsdrift är en större risk än cyberattacker för de flesta organisationer. Initiala säkerhetskonfigurationer eroderar gradvis när utvecklingsteam gör ändringar utan säkerhetsgranskning. Infrastructure as Code (IaC) med Terraform eller Pulumi, kombinerat med policy-as-code (OPA, Sentinel), är den mest effektiva mitigeringsstrategin.

Riskbedömningar åldras snabbt. En bedömning som gjordes vid migrering 2024 är sannolikt inaktuell 2026 om arkitekturen har utvecklats. Vi rekommenderar formell revision minst årligen och löpande uppdatering vid väsentliga ändringar.

Delad ansvarsmodell förstås sällan korrekt. Organisationer antar att molnleverantören hanterar säkerheten, men shared responsibility-modellen lägger betydande ansvar på kunden – särskilt för konfiguration, identitetshantering och dataklassificering.

Managerad DevOps

Vanliga frågor

Hur ofta bör vi genomföra IT-riskbedömning för molnmiljöer?

Minst årligen som formell genomgång, men även vid varje väsentlig förändring – ny tjänst, ny region, ny leverantör eller ändrat regelverk. I praktiken ser vi att organisationer med moget säkerhetsarbete kör kvartalsvis revision av de mest kritiska riskområdena.

Vilka ramverk passar bäst för riskbedömning inför molnmigrering?

NIST CSF ger ett brett ramverk för identifiering, skydd och respons. ISO/IEC 27001 passar organisationer som behöver certifieringsbar struktur. AWS Well-Architected Framework och Azure Architecture Center kompletterar med molnspecifika kontroller. Välj ett primärt ramverk och komplettera – undvik att blanda tre ramverk halvhjärtat.

Räcker en kvalitativ riskbedömning eller behöver vi kvantitativ analys?

Kvalitativ analys (hög/medel/låg) fungerar för initial prioritering, men för investeringsbeslut och styrelseunderlag behövs kvantitativa uppskattningar av potentiell ekonomisk påverkan. Metoder som FAIR (Factor Analysis of Information Risk) ger mer försvarbara siffror än magkänsla.

Vilka är de vanligaste riskerna vi missar vid molnadoption?

Leverantörsinlåsning, brist på exit-strategi, otillräcklig loggning och övervakning i molnet, samt att ansvarsfördelningen (shared responsibility model) inte är förankrad i organisationen. Vi ser också att kostnadsrisker systematiskt underskattas.

Hur påverkar NIS2 vår riskbedömning?

NIS2-direktivet kräver att väsentliga och viktiga entiteter genomför systematisk riskbedömning och implementerar proportionerliga säkerhetsåtgärder. Ledningen har personligt ansvar för att godkänna riskhanteringsåtgärder. Dokumentationskraven är skarpare än i NIS1 – processen måste vara spårbar.