Techne sp. o.o.
Konteksty

Analiza ryzyka - krok ku bezpieczeństwu

Analizę ryzyka, w takiej czy innej postaci, robią wszyscy. Każdy z nas kalkuluje: zdąży, czy też nie zdąży, przejść przez ulicę. Czasami niewiele brakuje aby, ryzyko się zmaterializowało. Mając taki incydent na myśli, oglądamy się dwa razy, nim wejdziemy na jezdnię, a cześć z nas dodatkowo jeszcze mityguje problem wykupując ubezpieczenie. Jeśli ten żargon nie jest Ci obcy - jest to artykuł dla Ciebie.

 

Zawodowo problem dotyka tylko niektórych. Większość z nas sporadycznie działa w jakichś zespołach roboczych zajmujących się analizą ryzyka. Nieliczni robią jakieś tabelki, obliczenia i utrzymują dokumentację, którą z poczuciem dobrze spełnionego obowiązku okazują równie nielicznym zainteresowanym.

Kalkulacje, którą wykonujemy na własne potrzeby są błyskawiczne - odbywają się "w tle", "w czasie rzeczywistym", w obliczu bezpośredniego zagrożenia i najczęściej nawet sobie ich nie uświadamiamy. Kalkulacje formalne, jakie wykonujemy zawodowo wymagają czasu, a czas jest cennym dobrem. Analiza ryzyka tylko w nielicznych wypadkach jest naszym podstawowym obowiązkiem, stąd traktowana jest często jako piąte koło u wozu. Przecież i tak wiadomo. A wiadomo, że to "na półkę" - tylko prawem narzucony obowiązek; że i tak nie ma środków; że rozwiązane problemu jest znane; że i tak szef ryzyka "bierze na siebie", ale odpowiedzialność pozostawi na nas. Takich, "że" dałoby się podać więcej. Niestety (a może na szczęście) z faktami trzeba się liczyć.

Ten artykuł nie będzie opisywał metodyki zarządzania ryzykiem - z jedną z nich możemy zapoznać się np. w normie ISO 27005 - znajdziemy tam całkiem racjonalne podejście do zagadnienia.

Ten artykuł stawia pytanie czym dla nas jest analiza ryzyka. Czy jest to użyteczne narzędzie? - jak szybkie szacowanie przed przejściem przez ulicę. Czy też narzucony obowiązek? - jak ocena skutków jaką znamy z RODO.

Czy jesteśmy w stanie realizować narzucone obowiązki i odnieść realne korzyści?

 

Czy budujemy kulturę bezpieczeństwa?

Ponieważ rozmawiamy o faktach więc na początek - nie ukrywajmy - bez względu na wykorzystane narzędzia i metodykę, zarządzanie ryzykiem musi wiązać się z czasem (zasobami) jaki temu poświęcimy. Czas ten powinien być wkalkulowany w etatowe zadania pracowników i jeśli zarządzanie ryzykiem nie ma być tylko na pokaz, ma przynieść efekty, musi dotyczyć praktycznie całego zespołu. Bezpieczeństwo lub jego wzrost - a oto przecież w analizie ryzyka nam chodzi - jest do osiągnięcia wyłącznie, jeśli zespół zna i rozumie cel oraz gra do tej samej bramki. Włączenie do analizy ryzyka zespołu jest składową budowania kultury jego bezpieczeństwa. Oczywiście cały zespół włączamy tylko na niektórych etapach procesu zarządzania ryzykiem.

W proces identyfikacji aktywów możemy wciągnąć cały zespół, ale wystarczy kierownictwo średniego szczebla. Nowe aktywa (lokalizacja, system informatyczny, zbiór danych osobowych czy cokolwiek innego) nie powinno pojawić się bez wiedzy kierownictwa a może nawet władz organizacji.

W proces identyfikacji ryzyk powinniśmy wciągnąć wszystkich. Rejestr zagrożeń i szans (o tym, że ryzyka obejmują również szanse nawet wstyd wspominać) powinny być otwarte dla wszystkich. Nie oznacza to, że każdy powinien móc się z całym rejestrem zapoznać, ale każdy powinien móc zaproponować zamieszczenie nowego wpisu.

 

Czy mamy spójny ogląd sytuacji?

Analizę ryzyka nakazują lub zalecają dziesiątki różnych przepisów. Tym samym możemy analizować np. ryzyko informatyczne, pożarowe, finansowe, naruszenia danych osobowych i każda z tych analiz będzie odrębnym światem, które zupełnie ignoruje pozostałe - bo osoby odpowiedzialne za ich stworzenie ograniczają zakres analiz do obszaru nakazanego przez określony akt prawny. Tym samym zupełnie pomijane są interakcje pomiędzy ryzykami z różnych obszarów i organizacja nie ma całościowego oglądu sytuacji.

Ryzyka powinny być współdzielone pomiędzy aktywa. Przykładowo traktując dwa systemy informatyczne zlokalizowane w jednej serwerowni jako odrębne aktywa, ryzyko jakim jest pożar, powinno być tożsame w obu przypadkach. Ryzyko z jednym właścicielem, z jedną oceną okresową i jednym sposobem jego ograniczenia. Nie ma przecież powodu aby takie samo zagrożenie, w tej samej lokalizacji i tych samych okolicznościach traktować inaczej.

 

Cy jesteśmy świadomi granic?

W dużej organizacji są setki aktywów i co za tym idzie setki jeśli nawet nie tysiące ryzyk. Nie sposób zarządzać ryzykiem nie dokonując uwspólnień obszarowych - zarówno aktywów jak i ryzyk. Ryzyka powinny być bardziej skonkretyzowane, ale też nie bardziej niż przyjęte metody ich mitygacji.

Zawsze należy postawić sobie pytanie, gdzie jest granica ryzyk, które traktujemy jako własne - ryzyk którymi się zajmujemy. Czy pożar na sąsiedniej posesji to również nasze ryzyko? A w tej samej dzielnicy? Czy złamanie nogi naszego klienta jest naszym ryzykiem czy już niekoniecznie? Czy tylko w naszej siedzibie czy również poza nią? A czy zagrożenie atakiem terrorystycznym to tylko okazja do uśmiechu czy może pozycja na liście naszych ryzyk? Jak cała analiza ryzyka tak i granice ryzyka też są pewnym ryzykiem...

W identyfikacji ryzyk a dokładnie zagrożeń warto wykorzystać jakiś rejestr incydentów. Czy nasza organizacja posiada taki rejestr? Powtarzające się incydenty wskazują na istnienie problemu - a problem to często zagrożenie - być może ryzyko jakim dotąd nie zarządzamy.

 

Czy właściciel ryzyka jest faktycznie właścicielem ryzyka?

Właścicielami ryzyka jest kierownictwo średniego lub wyższego szczebla. Ideałem jest połączenie kompetencji, decyzyjności i interesu, jaki kierownik ma w uniknięciu materializacji ryzyka. W kontekście tego artykułu ważne jest pytanie czy uda mu się przekształcić ryzyko w działania mające uniknąć zagrożeń i uprawdopodobnić szanse. Czy też tylko figuruje w odpowiednim polu jako właściciel ryzyka? Chcąc takiego „figurowania” uniknąć, należy traktować ryzyko jako zadanie / cel do realizacji, a w pewnych okolicznościach nawet jako samodzielny projekt.

 

 

Podobnych pytań można postawić jeszcze wiele. Zarządzanie ryzykiem jest jedną z wielu koncepcji, jakie mamy do dyspozycji, aby zarządzać organizacją. Niewiele jednak jest metodyk, które w takim stopniu uzyskałyby wsparcie prawodawcy. A skoro już musimy coś stosować i musimy zapewnić zasoby, róbmy to tak, aby wyciągnąć z tego korzyści a nie tylko wypełnić obowiązek prawny.