AGRA: Aggregated risk assessment and management

For mange virksomheter og bedrifter er risikoledelse basert på ISO 31000 viktig. Målsetningen er systematisk og proaktivt å frembringe et til enhver tid mest mulig korrekt risikobilde. Dette risikobildet må innholde nok informasjon til å sette beslutnings takere i stand til å ta de riktige beslutningene for å vedlikeholde et akseptabelt risikonivå. Adekvate og effektive metoder for risikovurdering er en forutsetning. Dette blir imidlertid vanskeligere år for år fordi dagens informasjonssystemer og tjenester blir stadig mer komplekse, heterogene og dynamiske. Dette gjelder spesielt for systemer som tilbyr informasjon og tjenester via internet; ikke minst for såkalte cloud-tjenester. Risikoledelse i en slik sammenheng er ekstremt utfordrende, og eksisterende metoder og teknikker er ofte lite egna. Et hovedproblem er at risikobildet er komplisert og uoversiktlig, og at det raskt endres på en måte som er vanskelig å forutsi. AGRA-prosjektet har hatt som mål å gjøre virksomheter og bedrifter i bedre stand til å håndtere denne utviklingen ved å tilby en strategi for modulær risikoledelse hvor separate biter av systemer eller virksomheter skal kunne analyseres hver for seg, mest mulig uavhengig av hverandre, og dokumenteres på en slik måte at resultatene enklere kan kombineres og aggregeres. Aggregeringen er basert på et enkapsulerings- eller grensesnittsbegrep for individuelle analyser som skjuler detaljer men inneholder nok informasjon til at resultatene kan slås sammen.

Prosjektet har bidratt til økt fokus på og forståelse av risikoaggregering i sin målgruppe. De deltagende bedriftene har som resultat nye eller bedre prosesser, metoder og verktøy for risikoaggregering. SINTEF forskere har bygget ny kompetanse og resultatene fra prosjektet utgjør fundamentet for SINTEFs deltagelse i EU-prosjektet CYBERWISER.EU som ble startet opp høsten 2018. Prosjektet har også bidratt til å gjøre SINTEF til en attraktiv partner i EU-prosjektet CyberSec4Europe som initieres i 2019. Prosjektet har spredd kunnskap utover prosjektets deltagere så vel nasjonalt (gjennom offentlige seminarer og foredrag) som internasjonalt (gjennom publikasjoner, inkludert en bok utgitt på Springer).

The main objective of the project is to develop a framework for overall unified risk management throughout an organization in order to provide a sound basis for decision making for all levels of management. The framework should facilitate analysis and pre sentation of risks at different levels of abstraction depending on the role of the target group, while ensuring consistency and preservation of essential information in a common underlying risk model. Application of the framework should be practically app licable in organizations without requiring significantly more resources in terms of effort, competence or cost than existing approaches. A component-oriented approach to risk management that allows composition/decomposition and abstraction will be taken . Critical research challenges include the following: - What is a suitable approach for risk model encapsulation to allow risk models to be treated as black boxes? In other words, which elements of risk models are essential for composition and reasoning? - What is a suitable conceptual and mathematical foundation (i.e. semantics) for the approach? - What composition/decomposition rules can be derived from this foundation? - How can we provide guidelines for composition/decomposition that are useful in pr actice for end users based on those rules? - How should we define abstraction formally in such a way that it captures the intuitive meaning? - How can we provide guidelines for abstraction/refinement that are useful in practice for end users based on the formal definition? -What tool support will be most useful for practitioners that want to apply the approach?