Od wielu lat wiele środowisk związanych z bezpieczeństwem prowadzi swoistą wojenkę, do której można dopasować idealnie kultowy już tekst:
Moja racja jest najmojsza.
Chodzi konkretnie o różne modele analizy ryzyka, które z racji mnogości systemów zarządzania bezpieczeństwem w organizacjach potrafią nieźle namieszać zarządzającym. Plus dodajmy do tego dość mały tort, którym jest budżet na bezpieczeństwo plus “gwiazdorzenie” i mamy gotowy przepis na wojnę 30 letnią. A przecież można inaczej…
Integracja bezrefleksyjna
Czasem nazywam różne rzeczy po swojemu tak aby można było to zrozumieć w miarę prosto. Integracja bezrefleksyjna oznacza, że bierzemy jakiś model i stosujemy całkowicie bez refleksji, zastanowienia się. Po prostu na zasadzie “jak jest”.
Podobnie bezrefleksyjnie nasze urzędy i organy potrafią “stosować” poradniki, normy, czy standardy, w tym też te, które są wydane w zupełnie innych celach. Zdarzyło się tak między innymi z normą ISO 27005 i “zaimportowaniem” skutków wprost, czy z klasyfikacją naruszeń z użyciem klasyfikacji od utraty atrybutu zamiast od poziomu ryzyka dla osoby, których dane dotyczą. Taki model integracji systemu analizy ryzyka nie zadziała. Z prostej przyczyny:
Jest odpowiedni tylko do tego celu, do którego został wydany.
A do innego wymaga modyfikacji.
Krótki poradnik
Z czego składa się ryzyko? Ze skutku oraz prawdopodobieństwa wystąpienia tego skutku. No dobrze, ale skutku czego? Zdarzenia, zagrożenia, jakkolwiek to sobie nazwiemy. Przypomnę jak wygląda modelowo cały proces:
Część I: – analiza zagrożeń:
- Identyfikacja zasobów
- Identyfikacja zagrożeń
- Analiza zagrożeń – ocena siły (przypomnę znów. Zalanie ze szklanki wody jest nieco inne niż z powodzi).
- Identyfikacja podatności zidentyfikowanych zasobów na zagrożenie
- Analiza zagrożeń – prawdopodobieństwo
- Analiza zagrożeń – podsumowanie.
I tu już mamy to, do czego będziemy szacować skutek oraz prawdopodobieństwo jego wystąpienia.
Część II: Szacowanie i ocena ryzyka
- Identyfikacja skutków jakie mogą zaistnieć z zagrożenia
- Szacowanie siły tego skutku na badany podmiot
- Szacowanie prawdopodobieństwa wystąpienia tego skutku na badany przedmiot.
Integracja
Widać prawda? Analizę zagrożeń mamy tę samą dla całej organizacji. Zagrożenia fizyczne (włamanie, pożar, zalanie, inne zdarzenia miejscowe) tak samo wystąpią w pożarówce, w ochronie fizycznej, w bezpieczeństwie informacji czy w ochronie danych osobowych. Podobnie jak cyber i IT. Czy będziemy tam mieć informacje objęte tajemnicami z RODO, tajemnicy przedsiębiorstwa czy niejawnych, nadal zagrożenia są te same.
Skutek jednak zależnie od tego, co jest w kręgu naszego zainteresowania (podmiotu) szacujemy do swojego.
Przykład:
Pożar hali.
- Dla strażaka – nastąpił pożar, zniszczona hala. Pożar może być małych, bądź wielkich rozmiarów.
- Dla operacji – nie mamy gdzie pracować. Musimy przerzucać się z łańcuchem dostaw, albo wręcz uruchamiać nowe lokalizacje.
- Dla IOD – utrata dostępności danych. Mogliśmy stracić np. dane o stanie zdrowia (przychodnia przyzakładowa) i to będzie poważny skutek. Np. brak dokumentacji dotyczącej chorób zawodowych.
- Dla BHP – jak ktoś doznał uszczerbku, wypadek. W tym ryzyko wypadku ciężkiego, śmiertelnego czy mnogiego.
A dla zarządzającego?
Zarzuty karne, jak niedopełnił ze wszystkich tych obszarów. Jeszcze jedna mała porada. Głównie dla zarządzających. Wyskalujcie sobie skutek np. 0-3 dla każdego obszaru. I czy zrobią wam na skalach 0-10, 0-300, 1-50, to i tak niech przedstawią ryzyko w skali:
- 3 – krytyczne, czy jak lubią koledzy z USA, katastroficzne
- 2 – istotne
- 1 – mało istotne
- 0 – pomijalne.
A to, którą skalę do czego wrzucą i jak podzielą, to już do dyskusji. Dzięki temu organizacja uzyska realny i rzeczywisty obraz ryzyka.
