Riskekvationen - Om att multiplicera ordningstal

Sunday, June 10, 2018

ÖvrigtRiskanalysÅsikt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Genom den klassiska riskekvationen lär vi oss att risk är produkten av konsekvens och sannolikhet. Detta stämmer när konsekvens och sannolikhet är reella tal, tal där aritmetiken faktiskt fungerar. Dessvärre har jag alldeles för många gånger sett och hört när denna klassiska ekvation istället multiplicerar ordningstal. Och vad är då ett ordningstal undrar du?

Jo, ett ordningstal är helt enkelt något som anger ordning i en sekvens av något. Exemplevis placering i en tävling. Du har första plats, andra plats och tredje plats. De beskriver en ordning, men ingenting mer. De säger ingenting om skillnaderna mellan första och andra placering, eller om relationen mellan första och andra kan förutsäga den tredje placeringen. De säger helt enkelt ingenting annat än att något kommer före eller efter något annat.

Ändå kanske du känner igen dig i den här beskrivningen. “I vår organisation klassificerar vi risker genom att multiplicera dess sannolikhet och konsekvens. Konsekvensen beskrivs som hög, medel eller låg och sannolikheten beskrivs på samma sätt. Vi använder den här riskmatrisen där hög innebär 3, medel 2, och låg innebär 1. Samma sak för både sannolikhet och konsekvens. Sedan har våra magiker möjliggjort aritmetik på dessa ordningstal och så multiplicerar vi helt enkelt de här siffrorna. Hög (3) konsekvens multiplicerat med medel (2) sannolikhet ger risk 6. Och så vidare.”

Känner du igen det? Troligen.

Men låt oss tänka efter lite. Vad är egentligen 1, 2 och 3? Precis, ordningstal. Hur vettigt är det egentligen att multiplicera placering 1 med placering 3? Det är lika korkat att multiplicera ordningstal som det är att multiplicera kategorier. Vad innebär det att multiplicera orange med röd? Det är helt enkelt inget som vi gör i den här världen. Dessvärre är det enkelt att multiplicera med ordningstal eftersom vi översatt vår ordningsindelning (hög, medel och låg) till siffror och det känns bra. Det ser rätt så bra ut och känns rätt så rätt. Men nej, det är helt enkelt fel.

Ett litet exempel för att… exemplifiera hur dumt det egentligen är att multiplicera ordningstal. “Tack för ditt samtal, det är viktigt för oss. Du har köplats 5 i kön och dagens datum är den 25e januari”. Nu multiplicerar vi köplats 5 med dagens datum för att se hur lång tid det kan ta innan vårt samtal besvaras. 5 * 25 = 125 minuter. Oj, lång väntetid…

Ungefär lika dumt är det att multiplicera sannolikhet och konsekvens beskrivna som ordningstal. Skillnaden är att vi har en intuitivt förståelse för innebörden av köplats och dagens datum och varför det inte är vettigt att multiplicera dessa begrepp. Och sannolikhet och konsekvens KAN multipliceras om de beskrivs som riktiga tal, alltså där relationen mellan 1 och 2 är samma sak som mellan 2 och 3. Så är det inte, som sagt, med ordningstal.

Trots detta så fortsätter branschen förespråka att vi ska multiplicera ordningstal med varandra. Och gärna visualisera dem i sådana här riskmatriser som trots allt enkla att använda och ger oss känslan av att vi gjort något vettigt, och visualiserat risker! Och användandet av dessa riskmatriser som uttryck för vår multiplikationsmagi är bred. Det sker på allra högsta nationella nivå. Inte konstigt att användandet fortsätter ut i grenarna.

Varför är detta ett problem? Utöver det faktum att det inte är meningsfullt att multiplicera ordningstal menar du? Först och främst trivialiserar det arbetet med risk. Det kan leda till många konstiga prioriteringar eftersom risker som inte ens är relaterade till varandra jämförs kategoriskt. Här kan vi snacka om att saker faller mellan stolarna. Vidare så synliggör inte riskmatriserna riktiga outliers. Risker med exceptionellt höga konsekvenser syns inte, de kan t.o.m prioriteras ned om sannolikheten bedömts vara låg. (Återigen, ignorerar vi det faktum att det inte är meningsfullt att multiplicera ordningstal).

Det finns mycket mer att säga om riskekvationen, men låt oss betrakta det här som en första liten introduktion. Och det viktigaste av allt, snälla, våga vägra delta. Tvingas du ändå delta, våga utkräva precisa tolkningar av varje risk. Önska att varje risk individuellt bedöms utifrån ett intervall för både sannolikhet och konsekvens. Då kan du åtminstone rättfärdiga en multiplikation.

Del två finns nu publicerad här .

ÖvrigtRiskanalysÅsikt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Riskekvationen - Intervaller och osäkerhet (del 2)

Effektivt cyberförsvar på Brittiska residenset