Zbroja, miecz i tarcza, czyli o definiowaniu zabezpieczeń i analizie ryzyka
Zbroja, miecz i tarcza, czyli o definiowaniu zabezpieczeń i analizie ryzyka
O czym mowa?
Ważnym elementem zarządzania ryzykiem jest system stosowanych zabezpieczeń nazywanych różnie w zależności od obszaru zarządzania: kontrolami, środkami kontroli, czy mechanizmami kontrolnymi. System ten rozumiany jest jako identyfikowane – świadomie stosowane – formalne (np. procedury) i nieformalne (np. dobre praktyki) rozwiązania techniczne (np. zabezpieczenia w systemach teleinformatycznych) i organizacyjne (np. w formie zaplanowanego flow procesu).
Dlaczego zabezpieczenia?
Powołując się na przykłady ISO/IEC 27001 czy RODO, proces zarządzania ryzykiem ma zapewnić, że wdrożone lub utrzymane, w jego wyniku zabezpieczenia będą adekwatne do poziomu oszacowanego ryzyka. W innych podejściach zabezpieczenia są o tyle ważne, że jedynie uwzględnienie poziomu ich skuteczności pozwoli nam określić, na jakim poziomie znajduje się nasze ryzyko. Problem polega jednak na tym, że pomimo zachowania pewnego poziomu ogólności oceny ryzyka, to trudno mówić o analizie zabezpieczeń bez jakiejkolwiek ich identyfikacji.
Jak identyfikować zabezpieczenia?
Jak to zwykle bywa najprostsze rozwiązania bywają najskuteczniejsze. Jednakże ograniczenie się wyłącznie do zdefiniowanej listy referencyjnej zabezpieczeń (jak np. ta w załączniku A do normy ISO/IEC 27001) nie jest dobrym wyjściem z sytuacji. Z naszego doświadczenia o wiele większą wartość stanowi połączenie analizy zabezpieczeń z analizą ryzyka i samodzielne wskazywanie ich przez właścicieli ryzyka – z możliwością oparcia się na udostępnianiu wspólnie budowanego katalogu. Taki sposób działania pozwala na lepsze identyfikowanie się ze stosowanymi mechanizmami i porównywanie ich między obszarami. To co z perspektywy jednego obszaru jest istotne w innym może okazać się nieadekwatne lub niezrozumiałe.
O zbroi, mieczu i tarczy
Tytułowy przykład nie jest przypadkowy, bo dość dobrze obrazuje, jak różne funkcje i poziomy mogą mieć poszczególne zabezpieczenia. Odwołując się do naszej współpracy z klientami, często mając na myśli zabezpieczenia odnosi się je tylko do jednego z parametrów ryzyka, jakim jest prawdopodobieństwo. Natomiast zabezpieczenia mogą również obniżać parametr wpływu ryzyka i do najlepszych przykładów w tym zakresie należą chociażby ubezpieczenie, odpowiednie procedury reakcji na incydenty, czy mechanizmy wczesnego ostrzegania i monitorowania, które nie wykluczą wystąpienia (zmaterializowania się) ryzyka, ale istotnie ograniczą skutki takiej sytuacji.
Jak oceniać zabezpieczenia?
Kolejnym ciekawym zagadnieniem jest dokonywanie oceny stosowanych zabezpieczeń. W odniesieniu do jakich parametrów będziemy je oceniać (skuteczności, efektywności, stopnia wdrożenia), czy ocenie będzie podlegał każdy środek kontroli w ramach jednego ryzyka osobno, czy dokonamy wspólnej oceny, powinno opierać się przede wszystkim na poziomie dojrzałości systemu zarządzania ryzykiem. O wiele ważniejsze wydaje się odpowiednie zdefiniowanie skali oceny – jej opisu – aby oceniający nie znalazł się w pułapce „doskonałości” i mógł spośród wszystkich zabezpieczeń wyłapać te posiadające słabe punkty (np. skuteczne, ale wymagające podjęcia działań lub ulepszenia).
Miecz obosieczny
Podsumowując wydaje się, że należy rozsądnie definiować zakres stosowanych zabezpieczeń w ramach zarządzania ryzykiem, aby nie zwielokrotnić zadań właścicieli ryzyka, którzy skupiając się na aspekcie szczegółowej identyfikacji i oceny zabezpieczeń nie będą już w stanie realnie i rzetelnie ocenić najistotniejszych oraz wymagających podjęcia działań ryzyk. Decydujące są w tym zakresie dwa elementy związane z – wspomnianym wyżej – poziomem dojrzałości procesu oraz poziomu kompetencji analizy ryzyka.
Jacek Knopik Starszy konsultant ds. analizy ryzyka w PBSG
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
