Zbroja, miecz i tarcza, czyli o definiowaniu zabezpieczeń i analizie ryzyka
Ważnym elementem zarządzania ryzykiem jest system stosowanych zabezpieczeń nazywanych różnie w zależności od obszaru zarządzania: kontrolami, środkami kontroli, czy mechanizmami kontrolnymi. System ten rozumiany jest jako identyfikowane – świadomie stosowane – formalne (np. procedury) i nieformalne (np. dobre praktyki) rozwiązania techniczne (np. zabezpieczenia w systemach teleinformatycznych) i organizacyjne (np. w formie zaplanowanego flow procesu).
Dlaczego zabezpieczenia?
Powołując się na przykłady ISO/IEC 27001 czy RODO, proces zarządzania ryzykiem ma zapewnić, że wdrożone lub utrzymane, w jego wyniku zabezpieczenia będą adekwatne do poziomu oszacowanego ryzyka. W innych podejściach zabezpieczenia są o tyle ważne, że jedynie uwzględnienie poziomu ich skuteczności pozwoli nam określić, na jakim poziomie znajduje się nasze ryzyko. Problem polega jednak na tym, że pomimo zachowania pewnego poziomu ogólności oceny ryzyka, to trudno mówić o analizie zabezpieczeń bez jakiejkolwiek ich identyfikacji.
Jak identyfikować zabezpieczenia?
Jak to zwykle bywa najprostsze rozwiązania bywają najskuteczniejsze. Jednakże ograniczenie się wyłącznie do zdefiniowanej listy referencyjnej zabezpieczeń (jak np. ta w załączniku A do normy ISO/IEC 27001) nie jest dobrym wyjściem z sytuacji. Z naszego doświadczenia o wiele większą wartość stanowi połączenie analizy zabezpieczeń z analizą ryzyka i samodzielne wskazywanie ich przez właścicieli ryzyka – z możliwością oparcia się na udostępnianiu wspólnie budowanego katalogu. Taki sposób działania pozwala na lepsze identyfikowanie się ze stosowanymi mechanizmami i porównywanie ich między obszarami. To co z perspektywy jednego obszaru jest istotne w innym może okazać się nieadekwatne lub niezrozumiałe.
O zbroi, mieczu i tarczy
Tytułowy przykład nie jest przypadkowy, bo dość dobrze obrazuje, jak różne funkcje i poziomy mogą mieć poszczególne zabezpieczenia. Odwołując się do naszej współpracy z klientami, często mając na myśli zabezpieczenia odnosi się je tylko do jednego z parametrów ryzyka, jakim jest prawdopodobieństwo. Natomiast zabezpieczenia mogą również obniżać parametr wpływu ryzyka i do najlepszych przykładów w tym zakresie należą chociażby ubezpieczenie, odpowiednie procedury reakcji na incydenty, czy mechanizmy wczesnego ostrzegania i monitorowania, które nie wykluczą wystąpienia (zmaterializowania się) ryzyka, ale istotnie ograniczą skutki takiej sytuacji.
Jak oceniać zabezpieczenia?
Kolejnym ciekawym zagadnieniem jest dokonywanie oceny stosowanych zabezpieczeń. W odniesieniu do jakich parametrów będziemy je oceniać (skuteczności, efektywności, stopnia wdrożenia), czy ocenie będzie podlegał każdy środek kontroli w ramach jednego ryzyka osobno, czy dokonamy wspólnej oceny, powinno opierać się przede wszystkim na poziomie dojrzałości systemu zarządzania ryzykiem. O wiele ważniejsze wydaje się odpowiednie zdefiniowanie skali oceny – jej opisu – aby oceniający nie znalazł się w pułapce „doskonałości” i mógł spośród wszystkich zabezpieczeń wyłapać te posiadające słabe punkty (np. skuteczne, ale wymagające podjęcia działań lub ulepszenia).
Miecz obosieczny
Podsumowując wydaje się, że należy rozsądnie definiować zakres stosowanych zabezpieczeń w ramach zarządzania ryzykiem, aby nie zwielokrotnić zadań właścicieli ryzyka, którzy skupiając się na aspekcie szczegółowej identyfikacji i oceny zabezpieczeń nie będą już w stanie realnie i rzetelnie ocenić najistotniejszych oraz wymagających podjęcia działań ryzyk. Decydujące są w tym zakresie dwa elementy związane z – wspomnianym wyżej – poziomem dojrzałości procesu oraz poziomu kompetencji analizy ryzyka.