Baner zarządzanie ryzykiem urządzenia mobilne 1280x507

Zarządzać ryzykiem czy rozwiązywać problemy?!

W literaturze dotyczącej zarządzania pojęcie „szacowania ryzyka” stanowi niezmiennie przedmiot rozważań. Właśnie to skłoniło mnie do pewnej refleksji. Jak mocno samo szacowanie ryzyka może przeszkodzić w rozwiązywaniu problemów? Problemów rozumianych jako przeszkody wynikające z bezpieczeństwa dla rozwoju i skuteczności swojego pracodawcy. Poniżej klika wniosków wynikających z obserwacji świata realnego, o których nie piszą w normach...

Normy mogą przeszkadzać

W wielu organizacjach, w których spotykam się z pojęciem zarządzania ryzykiem, sposoby i narzędzia, które jemu służą przyprawiają mnie o gęsią skórkę. Największą przeszkodą w dobrym doborze metody nie są wbrew pozorom zapisy norm i standardów mówiących o sposobach zarządzania ryzykiem, a cała rzesza konsultantów i specjalistów, którzy wskazują coraz to bardziej skomplikowane metody osiągnięcia rezultatu w postaci “mapy ryzyk”, uwzględniających “profil ryzyka organizacji” i sposób szacowania “ryzyka rezydualnego”, które powinno być zaakceptowane przez “właścicieli ryzyka”. W wyścigu na zgodność z normami i modnymi metodykami zapominamy o podstawowym celu, jaki (wierzę w to mocno) przyświecał autorom standardów i metodyk, które dotyczą szacowania ryzyka (np. ISO 31000, ISO/IEC 27005).

Wytyczne zawarte w tych dokumentach są bardzo ogólne, wskazują przykłady, metody i określają role, jakie muszą zaistnieć w organizacji. Przede wszystkim jednak wskazują, że metody oceny ryzyka muszą być dostosowane do charakteru organizacji. 

 

Fotolia 78119916 S

Metody wypaczające idee zarządzania ryzykiem

Na własny użytek nadałem nazwy kilku metodom, które “managerowie ryzyka” stosują, aby uczynić proces oceny ryzyka doskonałym.

 

 Metoda "Magiczna"    

Zastosowanie tej metody podlega pewnym założeniom. Cokolwiek uzyskamy w ramach samej analizy i z kimkolwiek analizę będziemy przeprowadzać, logika i doświadczenie autorów tego podejścia pozwoli na uzyskanie obiektywnych i porównywalnych efektów w każdych warunkach, bez nadmiernego absorbowania jakiegokolwiek pracownika organizacji.

Bezpieczeństwo informacji ciągłość działania ryzyko  

Podstawowe cechy tej metodyki:

  • magiczne wzory pozwalają na wyliczenie poziomów prawdopodobieństwa, skutku i ich wypływu na wszystkie aspekty bezpieczeństwa informacji – najlepiej, aby pochodziły z jednej prostej ankiety, która „sama się wypełnia”,
  • podatności i kryteria oceny ryzyka wyczerpują wszystkie aspekty bezpieczeństwa wskazane w normach i literaturze,
  • nie wymaga wiedzy praktycznej od osób wykonujących ocenę ryzyka - normy mówią przecież, że wyniki oceny ryzyka mają być powtarzalne. W związku z tym najbardziej zawodny i nieobliczalny element - człowieka - trzeba wyeliminować,
  • najważniejsze jest pełne uchwycenie idei zarządzania ryzykiem w raporcie - definicje, wzory, terminologia i pojęcia muszą być zgodne z teorią.

Zapominamy w gąszczu metod i mechanizmów o ludziach i informacjach, o problemach, które posiadają. Przede wszystkim zapominamy o nadrzędnym celu - rozwiązywaniu problemów, które przeszkadzają nam w pracy!

 

Metoda "Pod kocem"

   

Podobna do metody magicznej. Może być jednak prostsza, bardziej zrozumiała dla wykonujących. Najważniejszą zasadą jest wykonywanie jej w możliwie silnej konspiracji, tak aby nikt nie zorientował się, że ocena ryzyka jest wykonywana, że są wyniki tej oceny i zadania, które np. biznes powinien wykonać. Najważniejsze cechy:

  • angażujemy do zespołu specjalistów od zarządzania ryzykiem, znających w pełni teorię i “praktykę” w tym procesie,
  • izolujemy się na kilka tygodni od otoczenia, żeby mieć czas i możliwość zgłębienia wiedzy na temat podatności i ryzyk korespondujących z katalogami dostępnymi w literaturze,
  • ograniczamy całkowicie zbędne dyskusje z jednostkami merytorycznymi, które nie do końca potrafią zrozumieć idee zarządzania ryzykiem,
  • wyniki są kontrowersyjne i wymagają dużych zmian w organizacji, wobec tego nie prezentujemy wstępnych wniosków, propozycji i ograniczamy dystrybucje raportu z uwagi na wrażliwe dane w nich występujące.

Gubimy dialog z jednostkami merytorycznymi i podstawowym celem analizy - czyli identyfikowaniem przeszkód dla organizacji. Zapominamy o identyfikowaniu ich wspólnie z osobami, które mają praktyczną wiedzę na temat istniejących przeszkód.

Fotolia 97124134 S

Występują również inne warianty tych metod, które nazwałem roboczo “Rozpoznanie bojem”, czy też “Metoda na wigwam”. Ale o nich może innym razem.

 

Czy problem jest problemem?    
Co gubimy stosując warianty opisane powyżej? Zaręczam, że są one całkowicie zgodne z wymaganiami norm. Może niezgodne z ich duchem i podstawowym celem, dla jakiego były tworzone, ale o sprawach duchowych nie mnie osądzać.

Gubimy wizję tego, po co robimy ocenę ryzyka. Szczególnie organizacje działające w krajach rozwiniętych doskonale pokazały, co jest dla nich istotne.

 

W głównej mierze jest to rozwiązywanie istotnych problemów, wzrost efektywności i jak najmniejsze marnotrawienie sił i środków na bezowocne działania. Chętnych do zgłębienia tematu optymalizacji, zapraszam do zakładki Lean Management na naszych stronach.

Można wspomóc się w osiągnięciu tych celów poprzez zarządzanie ryzykiem pod warunkiem, że nie skomplikuje się metody na tyle, że trudne będzie jej przeprowadzenie.

 

Co jest ważne w zarządzaniu ryzykiem?    

Prześledźmy, w jaki sposób można “zarządzać ryzykiem” w zakresie bezpieczeństwa informacji tak, aby osiągnąć ów nadrzędny cel przyświecający właścicielom, zarządzającym i często klientom. Skupimy się na istotnym dla nich zagadnieniu, czyli na bezpieczeństwie informacji.

Aby poznawać czynniki, które mają wpływ na organizację musimy mieć możliwość ich identyfikacji. W każdej organizacji problemy lub ich źródła są znane pracownikom. Są to bowiem zagadnienia, które przeszkadzają im w pracy, utrudniają osiągnięcie założonych celów lub spełnienie oczekiwań przełożonych, czy też klientów. Inne zagadnienia nie będą wpisywały się w moją pokrętną definicję “problemu dotyczącego bezpieczeństwa”. 

To, co nie przeszkadza mojej organizacji, nie jest dla niej marnotrawstwem, brakiem spełnienia wymagań prawnych lub oczekiwań otoczenia, nie jest dla niej problemem.

 

Rolą procesu zarządzania ryzykiem powinno być więc pozyskanie tych informacji od osób, które je posiadają. Uwierzcie mi, wokół nas całe mnóstwo ludzi jest świadomych tego, jakie działania należy podjąć, aby było bezpieczniej. Uszczypliwie mogę tylko podpowiedzieć, że nie należy o to pytać przełożonych (kierowników, dyrektorów, prezesów), a raczej ludzi wykonujących na co dzień zadania, które związane są z przetwarzaniem informacji. Czy to będzie informatyk - administrator, programista, czy osoba pracująca z wykorzystaniem narzędzi przez nich dostarczanych - nieistotne. Najważniejsze, żeby każdy z nich miał możliwość wypowiedzenia się na temat “problemów bezpieczeństwa”, które mogą negatywnie wpłynąć na organizację. 

Motywacja i zrozumienie    

Uzyskiwanie informacji o ryzykach należy jednak ubrać w formę zrozumiałą dla osoby, której mamy umożliwić wskazanie problemu.

Tutaj przydatne są wymagania normy mówiące o zagrożeniach, podatnościach i zabezpieczeniach, a także konieczności ich identyfikacji i oceny.

Może jednak nie stosujmy formy, o której mówi norma? Dla przykładu zapytajmy na ulicy przypadkowe osoby: “jakie podatności w najbliższym otoczeniu (domu, pracy) są najistotniejsze dla bezpieczeństwa?”. Co odpowiedzą? Dla własnego bezpieczeństwa zróbmy ten wywiad daleko od miejsca zamieszkania. Plotki o podejrzanym zachowaniu sąsiadów szybko się rozchodzą.

Jeżeli skonstruujemy pytania w ten sposób, zapytamy dając podpowiedzi, to szansa na osiągniecie celu znacznie wzrośnie.

 

 

Ryzyko bezpieczeńśtwo informacji ciągłość działania

Uzyskamy informacje o problemach, które przeszkadzają w pracy i dotyczą bezpieczeństwa informacji.
Przygotowanie wniosków    
Dane uzyskane na przestrzeni analizy oczywiście trzeba dalej przetworzyć. Należy potwierdzić u zainteresowanych tematem, istotę problemu (Akceptacja Właścicieli Ryzyka) oraz zastanowić się ze zgłaszającym i właścicielem problemu, w jaki sposób skutecznie go rozwiązać (Postępowanie z ryzykiem).

Całość da nam materiał wyjściowy do stworzenia raportu podsumowującego najistotniejsze problemy, które przeszkadzają nam w osiągnięciu celów.

  Korzystając z otrzymanych informacji z łatwością uzyskamy współczynniki prawdopodobieństwa i następstw przytaczane przez standardy. Pamiętajmy jednak, że istotą szacowania nie jest wyłącznie ich określenie, ale przede wszystkim przedstawienie wyników w zrozumiały sposób, ze szczególnym naciskiem na wskazanie środków zaradczych, które należy wdrożyć.
Człowiek jest najważniejszy    
Nie zapominajmy przy tym wszystkim, że informacje, które chcemy uzyskać, mają pochodzić od ludzi. Musimy wiec dostosować narrację i sposób dyskusji tak, aby nakłonić pracowników do współpracy. I tutaj znowu kłaniają się narzędzia optymalizacji, o których mowa w obszarze Lean Management lub Optymalizacji, które mogą być pomocne.

 

Pamiętajmy, że normy mają pomagać w zarządzaniu, a ich interpretacja i wdrożenie będzie zależała od naszego podejścia. Jeżeli jesteśmy ukierunkowani w swoim działaniu na rozwiązanie problemu, żadna norma i standard nie przeszkodzi nam w implementacji skutecznej metody oceny ryzyka. Mało tego, tworząc skuteczną, zrozumiałą dla ludzi metodę oceny ryzyka będziemy w pełni zgodni z normami.
  

Zapraszamy bezpieczeństwo ciągłość ryzyko

Jakie metody stosujecie w zarządzaniu ryzykiem?

Co jest dla Was najważniejsze w tych metodach?

Co jest czynnikiem gwarantującym sukces?

Może metoda “Magiczna” lub “Pod kocem” u Was działa?

Zachęcam do dyskusji

Wiesław Kasprzak

Ekspert Blue Energy

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.