Od wielu lat wiele środowisk związanych z bezpieczeństwem prowadzi swoistą wojenkę, do której można dopasować idealnie kultowy już tekst:

Moja racja jest najmojsza.

Chodzi konkretnie o różne modele analizy ryzyka, które z racji mnogości systemów zarządzania bezpieczeństwem w organizacjach potrafią nieźle namieszać zarządzającym. Plus dodajmy do tego dość mały tort, którym jest budżet na bezpieczeństwo plus “gwiazdorzenie” i mamy gotowy przepis na wojnę 30 letnią. A przecież można inaczej…

Integracja bezrefleksyjna

Czasem nazywam różne rzeczy po swojemu tak aby można było to zrozumieć w miarę prosto. Integracja bezrefleksyjna oznacza, że bierzemy jakiś model i stosujemy całkowicie bez refleksji, zastanowienia się. Po prostu na zasadzie “jak jest”.

Podobnie bezrefleksyjnie nasze urzędy i organy potrafią “stosować” poradniki, normy, czy standardy, w tym też te, które są wydane w zupełnie innych celach. Zdarzyło się tak między innymi z normą ISO 27005 i “zaimportowaniem” skutków wprost, czy z klasyfikacją naruszeń z użyciem klasyfikacji od utraty atrybutu zamiast od poziomu ryzyka dla osoby, których dane dotyczą. Taki model integracji systemu analizy ryzyka nie zadziała. Z prostej przyczyny:

Jest odpowiedni tylko do tego celu, do którego został wydany.

A do innego wymaga modyfikacji.

Krótki poradnik

Z czego składa się ryzyko? Ze skutku oraz prawdopodobieństwa wystąpienia tego skutku. No dobrze, ale skutku czego? Zdarzenia, zagrożenia, jakkolwiek to sobie nazwiemy. Przypomnę jak wygląda modelowo cały proces:

Część I: – analiza zagrożeń:

  • Identyfikacja zasobów
  • Identyfikacja zagrożeń
  • Analiza zagrożeń – ocena siły (przypomnę znów. Zalanie ze szklanki wody jest nieco inne niż z powodzi).
  • Identyfikacja podatności zidentyfikowanych zasobów na zagrożenie
  • Analiza zagrożeń – prawdopodobieństwo
  • Analiza zagrożeń – podsumowanie.

I tu już mamy to, do czego będziemy szacować skutek oraz prawdopodobieństwo jego wystąpienia.

Część II: Szacowanie i ocena ryzyka

  • Identyfikacja skutków jakie mogą zaistnieć z zagrożenia
  • Szacowanie siły tego skutku na badany podmiot
  • Szacowanie prawdopodobieństwa wystąpienia tego skutku na badany przedmiot.

Integracja

Widać prawda? Analizę zagrożeń mamy tę samą dla całej organizacji. Zagrożenia fizyczne (włamanie, pożar, zalanie, inne zdarzenia miejscowe) tak samo wystąpią w pożarówce, w ochronie fizycznej, w bezpieczeństwie informacji czy w ochronie danych osobowych. Podobnie jak cyber i IT. Czy będziemy tam mieć informacje objęte tajemnicami z RODO, tajemnicy przedsiębiorstwa czy niejawnych, nadal zagrożenia są te same.

Skutek jednak zależnie od tego, co jest w kręgu naszego zainteresowania (podmiotu) szacujemy do swojego.

Przykład:

Pożar hali.

  • Dla strażaka – nastąpił pożar, zniszczona hala. Pożar może być małych, bądź wielkich rozmiarów.
  • Dla operacji – nie mamy gdzie pracować. Musimy przerzucać się z łańcuchem dostaw, albo wręcz uruchamiać nowe lokalizacje.
  • Dla IOD – utrata dostępności danych. Mogliśmy stracić np. dane o stanie zdrowia (przychodnia przyzakładowa) i to będzie poważny skutek. Np. brak dokumentacji dotyczącej chorób zawodowych.
  • Dla BHP – jak ktoś doznał uszczerbku, wypadek. W tym ryzyko wypadku ciężkiego, śmiertelnego czy mnogiego.

A dla zarządzającego?

Zarzuty karne, jak niedopełnił ze wszystkich tych obszarów. Jeszcze jedna mała porada. Głównie dla zarządzających. Wyskalujcie sobie skutek np. 0-3 dla każdego obszaru. I czy zrobią wam na skalach 0-10, 0-300, 1-50, to i tak niech przedstawią ryzyko w skali:

  • 3 – krytyczne, czy jak lubią koledzy z USA, katastroficzne
  • 2 – istotne
  • 1 – mało istotne
  • 0 – pomijalne.

A to, którą skalę do czego wrzucą i jak podzielą, to już do dyskusji. Dzięki temu organizacja uzyska realny i rzeczywisty obraz ryzyka.