W ramach szkoleń obejmujących warsztat „bezpiecznika” zawarliśmy kilka kluczowych przedsięwzięć. Ich celem jest zrozumienie myślenia opartego o ryzyko jako podstaw tworzenia systemów zarządzania bezpieczeństwem.
Analiza zagrożeń – dzień pierwszy szkolenia „Szacowanie i ocena ryzyka”
Jest to pierwsze szkolenie, w którym identyfikujemy procesy, zasoby używane do ich realizacji. Następnie poddajemy je wartościowaniu, zależnie od zasobu, ustalamy wartość księgową, procesową czy odtworzeniową. Równolegle do tego działania prowadzona jest identyfikacja wszelkich źródeł zagrożeń, jakie mogą oddziaływać na naszą organizację, następnie zaś samych zagrożeń wraz z parametrem prawdopodobieństwa oraz siłą oddziaływania.
Efektem jest analiza zagrożeń dla organizacji. Zmaterializowane zagrożenie jest mapowane w narzędziu BOW-TIE jako zdarzenie szczytowe, czyli coś, co zaistniało.
Ostatnim etapem szkolenia jest projektowanie wstępne zabezpieczeń (cele zabezpieczeń), które ma na celu:
- obniżenie podatności – czyli słabości procesów bądź zasobów, które mogą być wykorzystane przez zagrożenie lub kilka zagrożeń,
- obniżenie prawdopodobieństwa wystąpienia zagrożenia,
- obniżenie siły oddziaływania zagrożenia.
Szacowanie i ocena ryzyka — dzień drugi szkolenia „Szacowanie i ocena ryzyka”
W tym dniu szacujemy, jakie będą skutki naszego zdarzenia szczytowego, najczęściej zidentyfikowanego w trakcie pierwszego dnia szkolenia. Skutki wydarzenia mają również ocenę siły oddziaływania (wpływu) oraz parametr prawdopodobieństwa materializacji, czyli szacujemy możliwość zaistnienia tego skutku czy skutków. Wynikiem naszych działań są projekty zabezpieczeń, których celem jest:
- obniżenie możliwości wystąpienia skutku, czyli zmniejszenie prawdopodobieństwa,
- obniżenie siły oddziaływania, czyli wpływu na organizację lub na podmiot ochrony, (np. w ocenie ryzyka zgodnie z RODO podmiotem ochrony jest osoba, której dane dotyczą).
BIA – Business Impact Analisys, czyli analiza wpływu na biznes
Po zapoznaniu się z opisem szkolenia czytelnik może być zaskoczony, czytając polskie tłumaczenie skrótu BIA. Przecież wpływ na firmę oceniany jest już w analizie ryzyka, po co więc dodatkowa analiza?
Odpowiedź zaszyta jest w funkcji czasu oraz kombinacji (kumulacji) efektów. Skutki zdarzenia i wpływ na organizację w standardowym podejściu do oceny ryzyka obejmują ocenę statyczną i często w jednym wymiarze. Analiza BIA ma na celu wprowadzenie dodatkowych zmiennych, by uzupełnić wcześniejsze analizy i poszukać wytycznych do tworzenia strategii ciągłości działania, a w dalszej kolejności budować programy odporności organizacji (business resilince).
Założenia analizy BIA
Jednym z przewodnich obecnie standardów wskazujących sposób prowadzenia analizy jest specyfikacja techniczna ISO/TS 22317. Zawiera kilka dość przełomowych zmian w stosunku do wcześniejszego podejścia do tego tematu. Omówimy je w kolejnych artykułach, teraz skupimy się na funkcji czasu oraz kumulacji, które są najbardziej charakterystycznym wyróżnikiem BIA. W standardzie zawarta jest pewna kluczowa sentencja:
„Wpływ incydentów związanych z reputacją i finansami organizacji prawie zawsze rośnie w czasie”.
Aby właściwie zrozumieć to zdanie, warto uświadomić sobie, że skutki następują RÓWNOLEGLE. Praktycznie niemożliwa jest sytuacja,
w której zaistnieje TYLKO odpowiedzialność prawna (np. w formie postępowania karnego), a dopiero po jej zakończeniu będziemy mieć
do czynienia ze spadkiem dochodów. Równoległość skutków oznacza skumulowany wpływ na organizację, który prawie zawsze jest czymś więcej niż tylko sumą skutków jednorodnych.
Skutek operacyjny
Najczęściej w pierwszej fazie incydentu, czy sytuacji kryzysowej głównym skutkiem jest skutek operacyjny. W uproszczeniu, kierownictwo organizacji rozważa potencjalny wpływ braku realizacji kontraktów i niewywiązanie się z zobowiązań. W ISO/TS 22317 jest to jedna z pięciu kategorii.
Skutek prawny
Niewykonanie bądź nienależyte wykonanie umowy jest opisane w Kodeksie Cywilnym jako „niewykonanie umowy”. W związku z tym mamy do czynienia również ze skutkiem w obszarze prawnym. Oczywiście nie zaistnieje on w pierwszych chwilach, ale jako drugi rodzaj skutku powinien być zauważony.
Skutek finansowy
Brak realizacji konkretnego kontraktu skutkuje brakiem wpływu środków. Kontrakt, czy to usługa, czy dostarczenie produktu nie zostały zrealizowane, a więc plan przychodów staje się nieaktualny.
ISO/TS 22317 wskazuje pięć grup skutków, które nałożone na siebie mogą doprowadzić organizację do poważnych problemów. Nie jest to jednak jedyny aspekt odróżniający BIA od analizy zagrożeń czy szacowania i oceny ryzyka. Bardzo istotnym elementem jest funkcja czasu i zmiana siły (wpływu) konkretnych czynników, która została już opisana powyżej. W uproszczeniu, w analizie BIA należy rozważyć, w jakim czasie od zdarzenia lub incydentu nastąpią konkretne skutki z oszacowaną siłą wpływu. Ta informacja jest krytyczna dla tworzenia planów odtworzeniowych, czy planów zarządzania kryzysowego jako wytyczne do wskazania „od czego zacząć” i określenia czasu, po którym organizacja nie będzie już zdolna funkcjonować. Nałożone efekty przekroczą możliwości odpowiedzi, odtworzenia, czy utrzymania ciągłości działania. Jest to podejście będące podstawą do wyliczania maksymalnych czasów przestoju czy akceptowalnego poziomu zakłócenia operacji, doskonale znanych ze standardów BS 25999, a obecnie ISO 22301.
Podsumowanie
BIA jako analiza z ujęciem kombinacji skutków oraz czasu ich wystąpienia jest podstawą do tworzenia planów ciągłości działania, planów zarządzania kryzysowego, zarządzania incydentami, czy planów odtworzeniowych. Dobrze wykonana potrafi wskazać priorytety i kolejność działań, w odniesieniu do:
- usług i produktów, które w organizacji są najważniejsze,
- procesów, które dostarczają najważniejsze usługi i produkty,
- aktywności, które składają się na procesy dostarczające najważniejsze usługi i produkty.
Jest to wstęp do budowania odporności i trwałości organizacji, a więc nowego i coraz bardziej modnego terminu „business resilience”. Umiejętność tworzenia analiz BIA to umiejętność na poziomie eksperckim, a więc jest to „wyższa szkoła jazdy”.