Zarządzanie ryzykiem – Agnieszka Madej

9 stycznia, 201922 sierpnia, 2019

ZARZĄDZANIE RYZYKIEM – kilka słów wstępu

W poprzednich wpisach poznaliśmy podstawowe pojęcia związane z ryzykiem (tutaj) i bezpieczeństwem informacji (tutaj), w tym danych osobowych. Przyszedł zatem czas, by zmierzyć się z tematem zarządzania ryzykiem. W dzisiejszym wpisie postaram się przedstawić ideę zarządzania ryzykiem oraz w jaki sposób należy podejść do wdrożenia zarządzania ryzykiem w organizacji. Uznałam, że jest to bardzo ważne zagadnienie i powinno być omówione zanim wejdziemy głębiej w proces zarządzania ryzykiem w bezpieczeństwie informacji i zarządzania ochroną danych osobowych opartym na ryzyku. Dlaczego tak sądzę? Dlatego, że niedostosowanie procedur zarządzania ryzykiem do organizacji może nie przynieść zamierzonych efektów i wręcz zniechęcić organizację do tego cudownego narzędzia zarządczego (… może nie podzielacie mojego zachwytu… mam nadzieję, że mnie się uda to zmienić 😉).

Zanim przejdziemy do definicji to kilka słów o zarządzaniu ryzykiem w bezpieczeństwie danych osobowych. RODO nie reguluje kwestii zarządzania ryzykiem, a nawet nie odwołuje się ani razy do tego pojęcia. RODO odwołuje się do ryzyka związanego z przetwarzaniem danych osobowych, jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz najlepszych praktyk pozwalających zminimalizować to ryzyko. De facto odwołuje się do wielu aspektów właśnie zarządzania ryzykiem. Dlatego też GIODO w swoich poradnikach „Jak rozumieć podejście oparte na ryzyku wg RODO?” oraz „Jak stosować podejście oparte na ryzyku?” odnosi się do procesu zarządzania ryzykiem w bezpieczeństwie informacji…. ale o tym później.

Zacznijmy od definicji zarządzania ryzykiem zaczerpniętej z normy ISO 31000, która została powielona również w normie ISO/IEC 27005 dotyczącej zarządzania ryzykiem w bezpieczeństwie informacji.

Zarządzanie ryzykiem to skoordynowane działania dotyczące kierowania i nadzorowania organizacji w odniesieniu do ryzyka

Zrozumiałe? Spróbujmy troszkę oswoić tę definicję.

Z poprzednich definicji wiemy, że ryzyko to wpływ niepewności na cele. W drodze do realizacji naszych celów możemy zidentyfikować zdarzenia, które mogą nam przeszkodzić (zagrożenia) lub pomóc (szanse) w ich osiągnięciu. W bezpieczeństwie informacji skupimy się na zagrożeniach.
W zarządzaniu ryzykiem chodzi o to, by wprowadzić do organizacji pewien sposób myślenia (wyprzedzającego) i zasady postępowania, które zwiększą nasze szanse na osiągniecie celów. Zatem jeżeli już wyznaczymy cel, to musimy zastanowić się nad następującymi kwestiami:

Co może się wydarzyć niekorzystnego po drodze do sukcesu (osiągnięcia celu)?
Jaką mamy pewność, że może się to wydarzyć?
Co może być źródłową przyczyną takiego zdarzenia (jakie zagrożenie)?
Jak się wydarzy, to jak to wpłynie na nasz cel, jakie będą skutki dla organizacji?
Czy jesteśmy skłonni to zaakceptować?
Jeżeli nie, to w jaki sposób możemy nie dopuścić do takiego zdarzenia i ile nas to będzie kosztowało?
Jeżeli jednak się wydarzy, to czy jesteśmy w stanie zmniejszyć skutki i jak mamy się do tego przygotować?

To czy będziemy zapobiegać wystąpieniu zdarzenia, czy raczej przygotujemy się na zmniejszenie jego skutków, gdy już wystąpi, będzie zależało od poziomu ryzyka, od apetytu organizacji na ryzyko (skłonności do ryzyka) oraz od kosztów działań, które musielibyśmy ponieść, by zminimalizować ryzyko.

Pozyskanie tej wiedzy wymaga zaangażowania organizacji, ale to jeszcze nie wszystko. Jak już tę wiedzę zdobędziemy to wypada dobrze ją wykorzystać, co wiąże się z szeregiem działań, które:

pozwolą nam zdecydować, które ryzyka są istotne – określenie priorytetów,
pozwolą nam wdrożyć zabezpieczenia i zminimalizować prawdopodobieństwo, że zdarzenie wystąpi,
zapewnią nam informację, że nieuchronnie zbliża się zdarzenie, którego się obawialiśmy,
przygotują organizację do minimalizacji skutków zdarzenia, gdy już wystąpi.

Czy może to być działanie akcyjne?

Niestety nie, zarządzanie ryzykiem, jak każde ZARZĄDZANIE jest procesem ciągłym. Zatem musimy odpowiednio przygotować organizację poprzez zaplanowanie i wdrożenie procedur, podziału zadań i odpowiedzialności, monitorowanie, czy to co zaplanowaliśmy działa i czy działa prawidłowo, czy przynosi zamierzone efekty, czy możemy coś jeszcze poprawić, ulepszyć…. Tutaj wpadamy w pętlę Deminga, podstawową zasadę doskonalenia organizacji… ale to już dłuższa historia…

Dlaczego zarządzanie ryzykiem jest potrzebne?

Chcemy skutecznie zabezpieczyć nasz system informacyjny, a zatem chronić informacje należące do organizacji, bo to jest niezbędne np. do utrzymania konkurencyjnej pozycji na rynku, dobrego wizerunku organizacji;
Chcemy zapewnić bezpieczeństwo informacji, ale nie chcemy równocześnie ponosić zbyt dużych kosztów zabezpieczeń;
Chcemy również uniknąć zdarzeń, które mogą negatywnie wpłynąć na działania organizacji;
Chcemy, a wręcz musimy działać zgodnie z regulacjami czy wymaganiami prawnymi.

Jak wdrożyć zarządzanie ryzykiem w organizacji?

Najlepiej od początku do końca, systematycznie i w pełni, wdrażając poszczególne elementy procesu zarządzania ryzykiem. Należy zatem:

zbadać i zrozumieć cele i procesy biznesowe organizacji,
dostosować podejście odpowiednio do specyfiki danej organizacji, jej otoczenia zewnętrznego oraz skłonności do ryzyka (struktura organizacyjne, poziom dojrzałości, wymagania prawne dla działalności itp.),
opracować procedury i zastosować zestandaryzowane szablony do gromadzenia i zarządzania informacjami niezbędnymi w procesie zarządzania ryzykiem,
zebrać informacje – zidentyfikować i sklasyfikować aktywa organizacji,
zidentyfikować, ocenić ryzyka oraz zrozumieć ich istotę i wpływ na realizację celów organizacji,
wyznaczyć priorytety w postępowaniu z ryzykiem,
określić priorytety dla działań redukujących ryzyka,
zaangażować uczestników – właścicieli ryzyka do podejmowania działań minimalizujących ryzyko oraz monitorowania ryzyka i całego procesu,
monitorować postępowanie z ryzykiem i oceniać jego skuteczność,
regularnie monitorować i przeglądać ryzyka oraz proces zarządzania ryzykiem,
zbierać i analizować informacje w celu doskonalenia podejścia do ryzyka,
doskonalić proces i podnosić świadomość w zakresie zarządzania ryzykiem wśród kierownictwa i personelu.

Kluczem sukcesu wdrożenia zarządzania ryzykiem jest zawsze świadomość i postawa Kierownictwa.

Niestety bardzo często słyszę opinię, że ” w zarządzanie ryzykiem mogą się bawić duże korporacje, małe firmy nie mają czasu na zabawę – muszą działać”. Czy rzeczywiście tak jest? Nie, nie i jeszcze raz nie! Po pierwsze zarządzanie ryzykiem to nie zabawa, jeżeli wprowadzimy proces adekwatny do organizacji, to szybko zobaczymy korzyści. Po drugie każdy z nas znajduje chwilę na refleksję, by spojrzeć na to co nam się udało osiągnąć, a czego nie? Dlaczego nam się nie udało? Co trzeba poprawić? Czy to co się dzieje w otoczeniu jest szansą na biznes, czy zagrożeniem? Jednym słowem każdy z nas zarządza ryzykiem, może intuicyjnie, mało świadomie, ale jakoś zarządza. Uporządkowanie tego procesu może zwiększyć zdolność organizacji do realizacji jej celów.

Ciekawym zagadnieniem jest kwestia ustalenia w organizacji apetytu na ryzyko. Jest to jeden z fundamentalnych elementów zarządzania ryzykiem. Zachęcam do przeczytania artykuł Pani Anny KOROMBEL z Politechniki Częstochowskiej nt. Identyfikacji korzyści z zarządzania ryzykiem i wyznaczania apetytu ma ryzyko w małych i średnich przedsiębiorstwach. Artykuł dostępny jest tutaj. Miłej lektury i do zobaczenia wkrótce.

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

2 grudnia, 201822 sierpnia, 2019

BEZPIECZEŃSTWO INFORMACJI I DANYCH OSOBOWYCH – ale o co chodzi?

Z definicji danych osobowych wynika, że są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Ochrona danych osobowych wiąże się zatem z zapewnieniem bezpieczeństwa informacji. Stąd w wytycznych i komentarzach w zakresie bezpieczeństwa danych osobowych, w szczególności analizy ryzyka funkcjonują odwołanie do norm ISO dotyczących bezpieczeństwa informacji.

Czym jest informacja i system informacyjny?

Dzisiejszy temat zaczniemy od zdefiniowania podstawowych pojęć związanych z bezpieczeństwem informacji.

Wypadałoby zacząć od informacji i znowu nie będzie łatwo, bo pojęcie to nie jest jednoznaczne. Definiowane jest różnie w zależności od dziedziny nauki. Mówiąc potocznie o informacji mamy na myśli komunikat lub inną formę niosącą treść, zmniejszającą poziom niewiedzy.

Często z informacją utożsamiane są dane i już tutaj warto podkreślić, że nie są to synonimy:

informacje ≠ dane

Dane są pewną formą prezentacji informacji. Przetwarzanie danych prowadzi do uzyskania informacji. Dane mogą być przechowywane i przedstawiane w formie zbiorów danych.

W normie ISO/IEC 17799:2007 wskazano, że informacja może przybierać różne formy: może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się, aby zawsze była w odpowiedni sposób chroniona.

Zbiór i przepływ informacji w organizacji tworzy system informacyjny, w którym część procesów będzie wspomagana systemami informatycznymi, a zatem:

system informacyjny ≠ system informatyczny

Widzimy różnice?

Mając na uwadze definicje systemu informacyjnego musimy pamiętać, że ochrona informacji nie ogranicza się tylko do zabezpieczenia jej formy elektronicznej przetwarzanej w systemach informatycznych.

Jak zdefiniujemy bezpieczeństwo?

Bezpieczeństwo jest to stan dający poczucie pewności i gwarancję jego zachowania oraz szanse na doskonalenie.

Bezpieczeństwo informacji oznacza jej ochronę przed zagrożeniami, jest to zatem zespół działań podejmowanych w celu zabezpieczenia informacji przed zagrożeniami.

To co możemy chronić w informacji zostało nazwane jej atrybutami bezpieczeństwa:

W ochronie danych osobowych wymienia się trzy podstawowe atrybuty bezpieczeństwa informacji: poufność, integralność oraz dostępność. Pozostałe atrybuty są jednak równie ważne. Wyjaśnijmy wszystkie pojęcia:

Poufność – zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym; ochrona przed nieautoryzowanym pozyskaniem informacji.

Integralność – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; ochrona przed nieautoryzowaną modyfikacją informacji.

Dostępność – zapewnienie, że osoby upoważnione mają możliwość wykorzystania informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne; ochrona przed nieautoryzowaną odmową udostępnienia informacji lub zasobu.

Autentyczność – właściwość, która polega na tym, że podmiot przetwarzający informację jest tym za kogo się podaje, a pochodzenie lub zawartość danych opisujących obiekt są takie jak deklarowane.

Niezaprzeczalność – zdolność do udowodnienia, że wystąpiły deklarowane zdarzenia lub działania oraz że dany podmiot je wywołał.

Rozliczalność – odpowiedzialność podmiotu za jego akcje i decyzje oraz zapewnienie, że określone działanie dowolnego podmiotu może być jednoznacznie przypisane temu podmiotowi.

Kiedy zabezpieczać informacje?

Informacje należy zabezpieczeń w całym cyklu jej życia.

Cykl życia informacji obejmuje okres od momentu jej wytworzenia do momentu jej zniszczenia.

Cykl życia danych osobowych obejmuje okres od momentu ich pozyskania do momentu ich zniszczenia.

Dla skutecznego chronienia informacji należy zatem przeanalizować procesy biznesowe i przepływy informacji w ramach tych procesów.

Czym jest bezpieczeństwo danych osobowych?

RODO nie definiuje bezpieczeństwa danych osobowych. W rozporządzeniu znajdziemy definicję naruszenia ochrony danych osobowych, która odpowiada na pytanie przed czym chronimy dane osobowe:

Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zapewnienie bezpieczeństwa danych osobowych będzie zatem polegało na ochronie przed zagrożeniami, które prowadzą do nieuprawnionego:

zniszczenia danych, a zatem naruszenia atrybutu dostępności informacji;
utracenia danych, które może się wiązać z naruszeniem atrybutu dostępności informacji, ale również poufności danych (np. jeżeli skradziono nam komputer, na którym znajdowały się pliki z danymi osobowymi i nie mamy ich kopii – utrata dostępności; jeżeli komputer i pliki nie były zabezpieczone (szyfrowanie dysku, hasła do plików) – utrata poufności);
zmodyfikowania danych – naruszenia atrybutu integralności informacji;
ujawnienia lub dostępu – naruszenia atrybutu poufności informacji.

Wyjaśniliśmy sobie dotychczas najważniejsze pojęcia dotyczące istoty ryzyka oraz informacji i jej bezpieczeństwa. W kolejnym wpisie zajmiemy się bliżej zarządzaniem ryzykiem w bezpieczeństwie informacji.

15 listopada, 201822 sierpnia, 2019

RYZYKO – czy na pewno wiesz co oznacza?

Zanim zaczniemy szeroko omawiać kwestie zarządzania ryzykiem w ochronie danych osobowych zapraszam do rozważań na temat istoty ryzyka. Zdefiniujemy podstawowe pojęcia związane z ryzykiem. Zaczniemy od prostych przykładów, zatem osoby, dla których istota ryzyka nie jest obca zapraszam do kolejnych wpisów, gdzie zajmiemy się ryzykiem w bezpieczeństwie informacji, w tym danych osobowych.

Ryzyko jest pojęciem wieloznacznym, trudnym do zdefiniowania. Definiowane jest na bazie różnych nauk i teorii, m.in. w ekonomii, naukach behawioralnych, naukach prawnych, psychologii, statystyce.

Słowo ryzyko pochodzi od starowłoskiego „risicare”, które oznacza „odważyć się”. Można zatem postrzegać ryzyko jako pewnego rodzaju wybór. Od razu nasuwa się skojarzenie, że w tym znaczeniu ryzyko wiąże się z podejmowaniem decyzji w warunkach niepewności.

W przedmiocie zarządzania ryzykiem funkcjonuje wiele standardów, które definiują ryzyko w podobny sposób, uwypuklając różne jego aspekty. W naszych rozważaniach na temat bezpieczeństwa ochrony danych osobowych będziemy kierować się normą ISO 31000 dotyczącą zarządzania ryzykiem oraz nawiązującą do niej normą ISO/IEC 27005 w zakresie zarządzania ryzykiem w bezpieczeństwie informacji. Normy te definiują ryzyko w następujący sposób:

Ryzyko to wpływ niepewności na cele

Niepewność to pewien stan, również częściowy, braku informacji związanej ze zrozumieniem lub wiedzą na temat zdarzenia, jego następstw lub prawdopodobieństwa.

Niepewność można zatem stopniować. Jest to stan od niepewności sensu stricto (nazwijmy ją niewiadomą), gdzie nie możemy sobie nawet wyobrazić zdarzenia, które mogłoby wystąpić i nie mamy żadnej informacji, która pozwoliłaby nam je zidentyfikować, do niemal pewności, że coś się wydarzy i wiedzy jakie przyniesie skutki.

Z niepewnością sensu stricto (niewiadomą) mamy do czynienia np. w badaniach naukowych, gdzie podejmując badanie nie jesteśmy w stanie ocenić ani prawdopodobieństwa ani rezultatów badania. Natomiast mówiąc o pewności możemy mówić o zdarzeniach podlegających np. prawom fizyki, matematyki. Stan między niepewnością sensu stricto a stanem pewności to właśnie ryzyko.

Ryzyko jest formą niepewności, którą możemy zmierzyć

Ryzyko = prawdopodobieństwo x skutek

Ryzyko postrzegane jest jako wartość stanowiąca iloczyn prawdopodobieństwa wystąpienia i wagi skutków. Ten temat pozostawimy do rozważań przy ocenie ryzyka w bezpieczeństwie informacji.

Rozwińmy poprzednią definicję:

Ryzyko to możliwość (prawdopodobieństwo) zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów

Ryzyko może być postrzegane jako zagrożenie mające negatywny wpływ na realizację celów bądź jako szansa, gdy oczekujemy pozytywnych skutków.

Szanse będą rozpatrywane, w szczególności w działaniach sprzedażowych, badawczo-rozwojowych oraz przy budowaniu strategii organizacji, natomiast zagrożenia będą rozpatrywane głównie w działalności operacyjnej, wykonawczej.

Zdefiniujmy jeszcze dwa pojęcia związane z ryzykiem tj. „zdarzenie” i „zagrożenie”.

Zdarzenie to wystąpienie lub zmiana konkretnego zestawu okoliczności. Zdarzeniem może być działanie lub zaniechanie działania. Zdarzenie może być określane jako „incydent”.

Mówiąc o incydencie mamy na uwadze zdarzenia, które wystąpiły. Mówiąc o ryzyku myślimy o zdarzeniach, które mogą się wydarzyć w przyszłości, ale nie mamy pewności, czy się wydarzą.

Zagrożenie to potencjalna przyczyna niepożądanego zdarzenia, które może wywołać szkodę w systemie lub organizacji.

Z ryzykiem mamy do czynienia, gdy prawdopodobieństwo wystąpienia jest większe od 0% i zarazem mniejsze od 100%. Jeżeli zdarzenie przyszłe wystąpi ze 100% pewnością to mówimy o zagadnieniu, a nie o ryzyku.

Przykładowo, jeżeli z raportów kadrowych wynika, że 10 % obsady firmy odejdzie w najbliższym roku na emeryturę to mamy zagadnienie związane z oczekiwanym niedoborem kadrowym, które wymaga podjęcia działań. Jeżeli nic nie zrobimy z tą informacją to za rok będziemy mieli niedobór kadr – zdarzenie pewne. Jako ryzyko możemy natomiast rozpatrywać możliwość pozyskania pracowników o wystarczających kompetencjach, by ten niedobór pokryć. Zagrożeniem może być w tym przypadku brak na rynku pracy wystarczającej liczby potencjalnych pracowników o poszukiwanych kompetencjach.

Kiedy mówimy o ryzyku to mówimy o niepewności, której jesteśmy świadomi, gdzie dysponujemy informacjami pozwalającymi ocenić prawdopodobieństwo wystąpienia oraz znamy katalog możliwych skutków.

Podajmy najprostszy przykład z naszego codziennego życia:

Kiedy mamy zamiar przejść przez ulicę w niedozwolonym miejscu to analizujemy otoczenie oraz nasze uwarunkowania (czynniki zewnętrzne i wewnętrzne ryzyka) np. ruch samochodów, szerokość drogi, jej ukształtowanie, widoczność, pogodę, naszą kondycję i np. obuwie (właśnie wyobraziłam sobie przeprawę przez trzypasmową drogę w szpilkach na wysokim obcasie 😉). Na tej podstawie możemy zidentyfikować zdarzenia jakie mogą nam się przytrafić w drodze do osiągnięcia celu, prawdopodobieństwo ich wystąpienia oraz katalog potencjalnych skutków.

Zagrożeniem jest przejście przez ulicę w niedozwolonym miejscu (przyczyna niepożądanych zdarzeń). Przyjrzyjmy się jak możemy zdefiniować zdarzenia, jakie mogą mieć skutki i jak możemy opisać ryzyko.

Zdarzenie	Katalog skutków	Ryzyko
Potrącenie przez samochód	od lekkich otarć, złamań, kalectwa do utraty życia	Możliwość (prawdopodobieństwo) potrącenia przez samochód skutkującego utratą zdrowia lub życia
Zatrzymanie przez Policję	od pouczenia do mandatu	Możliwość zatrzymania przez Policję skutkującego stratą materialną
Upadek podczas przeprawy przez drogę	od pobrudzenia odzieży, poprzez otarcia, skręcenie do np. złamania nogi	Możliwość upadku skutkującego utratą zdrowia

Oczywiście może nam się przytrafić seria zdarzeń np. upadek i zaraz potem potrącenie… ale nie idźmy tą drogą.

Przykład z życia skłania do refleksji, bo skutki najpoważniejsze jakie można sobie wyobrazić… W decyzji, czy podjąć ryzyko, czy jednak nie, warto spojrzeć na statystyki:

Niestety z artykułu „Sprawdzili, dlaczego giną piesi w Polsce. I dlaczego tak dużo”, z którego pochodzą ww. wykresy, wynika, że jesteśmy w czołówce ponurych statystyk… Cały artykuł dostępny tutaj.

Mam nadzieję, że ryzyko przestało nam być obce. W następnym wpisie zgłębimy kwestie ryzyka w bezpieczeństwie informacji, w tym danych osobowych.
Zapraszam już wkrótce.