webinar – sådan forhandler du et sikkerhedsbudget der matcher din risiko

af | jun 24, 2025 | Viden

ET BUDGET, DER MATCHER RISIKOEN
Hvordan sikrer man det rette cybersikkerhedsbudget?

Cybersikkerhed skal balanceres som enhver anden forretningsmæssig investering – men hvordan argumenterer man for et budget, der matcher den reelle risiko?

I dette webinar får du konkrete svar på:

  • Hvordan risiko kan kvantificeres i kroner og øre

  • Hvordan cybersikkerhed kan forsvares i budgetdialogen

  • Hvordan man viser effekten af investeringer i risikoreduktion

Webinaret henvender sig til CISO’er, CFO’er og andre, der arbejder med cybersikkerhedsbudgetter, prioritering af sikkerhedstiltag og kommunikation til ledelse og bestyrelse.

Se hele webinaret og download præsentationen

Har du spørgsmål eller ønsker du en introduktion til kvantitativ risikovurdering i din egen organisation, er du også velkommen til at kontakte os direkte.

Se webinaret
Download slides

Nedenfor kan du ligeledes læse en opsummerende artikel om de primære områder fra webinaret:

Sådan sikrer du et cybersikkerhedsbudget, der matcher virksomhedens reelle risiko

Faglig opsummering: Webinaret om risikobaseret cybersikkerhedsbudgettering

Hvordan fastlægger man et cybersikkerhedsbudget, der står mål med virksomhedens faktiske risici? Og hvordan sikrer man, at budgettet allokeres og forsvares på en måde, som beslutningstagere forstår og accepterer? Det var hovedtemaet i det seneste webinar om cybersikkerhedsbudgettering baseret på kvantificeret risikovurdering.

Problemet med traditionelle metoder

Mange virksomheder benytter stadig kvalitative metoder som heatmaps til at visualisere risiko. Men disse metoder lider af indbyggede svagheder: Risici i røde felter kan i praksis være mindre alvorlige end dem i gule, og det er ofte umuligt at vurdere, hvor meget risiko der reelt fjernes ved en given investering. Denne tilgang gør det vanskeligt at konkurrere om budgetter på lige fod med andre forretningsområder, hvor business cases er underbygget af tal.

Kvantificering som alternativ

Ved at anvende kvantitative metoder – som f.eks. statistiske simuleringer og rammeværker som FAIR – er det muligt at sætte konkrete tal på risiko. Eksempelvis kan man beregne:

  • Annual Loss Expectancy (ALE) – det gennemsnitlige økonomiske tab per år.

  • Det mest sandsynlige tab, når en hændelse indtræffer.

  • Sandsynligheden for tab over en vis størrelse.

  • Effekten af investeringer i risikoreducerende tiltag.

  • Det optimale niveau for cyberforsikring baseret på risikoprofilen.

Disse beregninger skaber et solidt grundlag for budgetdialoger, hvor cybersikkerhed kan argumenteres på lige fod med andre investeringer i organisationen.

Budgetdialog i øjenhøjde

I budgetprocesser skal cybersikkerhed ofte konkurrere med f.eks. HR-initiativer eller energirenoveringer, hvor effekten kan dokumenteres i kroner og øre. For at stå stærkt i en sådan sammenhæng skal cybersikkerhedsbudgettet kunne dokumentere, hvad virksomheden får igen:

  • Hvor meget forventes det gennemsnitlige tab at falde?

  • Hvilke hændelser adresseres?

  • Er omkostningerne til mitigering proportionale med risikoreduktionen?

Ved at kvantificere risici kan man også forventningsafstemme, hvilket risikoniveau der reelt accepteres med det eksisterende budget – selv hvis der ikke ansøges om midler ud over det eksisterende.

Datagrundlag og anvendelighed

En kvantitativ risikovurdering kræver færre ressourcer end mange tror. Med blot 5-10 relevante scenarier og omkring 50 datapunkter kan man komme i mål med en analyse, der både er beslutningsunderstøttende og let at vedligeholde. Eksempler på relevante datapunkter inkluderer:

  • Omsætning pr. dag eller år

  • Antal brugere og kundedata

  • Tid til gendannelse ved afbrydelser

  • Historiske hændelser og eksterne skadesdata

Ved at fokusere på scenarier – snarere end at analysere hvert enkelt system – reduceres kompleksiteten, og analyserne bliver mere relevante for ledelsesniveauet.

Forsikring og ekstremscenarier

Kvantisering giver også mulighed for at analysere sjældne, men alvorlige tab. Med en Loss Exceedance Curve kan man visualisere sandsynligheden for, at et tab overstiger et givent beløb – og bruge det til at vurdere, om og hvor meget forsikring der er behov for.

Erfaringer viser, at alene optimering af forsikringsdækning ofte kan finansiere udgiften til den kvantitative analyse.

Sammenligning: Kvalitativt vs. kvantitativt

Kvalitativ analyse Kvantitativ analyse
Ofte baseret på farvekoder og skalaer Baseret på simulering og estimeret økonomisk tab
Kan være svært at vedligeholde og forklare Lettere at opdatere og kommunikere
Usikker prioritering mellem risici Klar rangordning og business case for handling
Svært at sammenligne med andre investeringer Let at indgå i budgetdialoger og trade-offs

Konklusion

Et cybersikkerhedsbudget skal ikke baseres på mavefornemmelser eller compliance alene, men på reelle, målbare risici. Ved at anvende kvantitativ risikovurdering får man et værktøj, der:

  • Oversætter trusler til tal.

  • Understøtter prioritering af tiltag.

  • Skaber gennemskuelighed i ledelsesdialogen.

  • Gør det muligt at dokumentere værdien af cybersikkerhedsarbejdet.

Det er et nødvendigt skridt for organisationer, der ønsker at træffe informerede beslutninger om deres digitale robusthed.

Vil du vide mere?