GoldenLine
Zaloguj się
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Odwaga, ryzyko

Czyli nieco o managerach i ryzyku podejmowanym. Myślę, że temat również dla ABI, może nieco pomoże w dyskusjach z ADO. Do wykorzystania, z zaznaczeniem źródła.

Odwaga, ryzyko. Już jakiś czas powstał, czas odświeżyć, czyli dodać na naszą stronę (nową). Felieton zebrał niezłe recenzje, w tym wśród uczestników konferencji

http://ibii.eu/felietony-czyli-naszym-zdaniem/88-odwag...
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Odwaga, ryzyko

Każdego dnia staramy się zdobywać nowe zamówienia i pozyskiwań nowych klientów. Chcemy za wszelką cenę zwiększać obroty firmy, często biorąc pod uwagę jedynie aspekty ekonomiczne nie zastanawiając się nad innymi zdarzeniami, które mogą uniemożliwić osiągnięcie założonego przez nas celu, a także zaburzyć normalny cykl funkcjonowania. Dopiero, gdy coś się już wydarzy wówczas przerażeni sytuacji zastanawiamy się co zmienić aby znów było normalnie. Tylko, że to czasami jest już za późno. Każdego roku rejestruje się dużo nowych podmiotów gospodarczych, ale też duża liczba w tym samym roku ulega skreśleniu z ewidencji, często w wyniku kierowania się jedynie aspektem ekonomicznym zapominając o zagrożeniach. To często brak umiejętności zarządzania ryzykiem, nieumiejętne działania w sytuacjach "trudnych" i określania zagrożeń powoduje że nasze wspaniałe plany idą w gruzy.
Mamy wiele przykładów, gdzie nie dokonując właściwej identyfikacji zagrożeń, nie tworząc planów ciągłości działania nie jesteśmy w stanie odtworzyć dalszej działalności. Po ataku na WTC wiele firm mających tam swoją siedzibę już się nie podniosło.
Dlatego firmy, które dokonują cyklicznie analiz ryzyka, posiadają plany awaryjnych zachowań, przetestowane scenariusze awaryjne są w stanie podjąć dalsze funkcjonowanie.

Ogólnie o zagrożeniach i ich wpływie http://safetyandsecurity.pl/nr06/#/29 - str 28
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Odwaga, ryzyko

Tylko pytanie teraz w kontekście obu artykułów. Jak to się ma do pracy ABI?

Jakie ryzyka są szacowane? Rozumiem, że w większości prawne, ze skutkiem określonym w przepisach karnych ODO i XXXIII rozdiału KK.

A jak z innymi?

Jak wygląda ocena ryzyka strategicznego?

Ot np zmiany w prawie - ryzyko na poziomie strategicznym, które nałoży więcej obowiązków. Ale też może dać więcej bezpieczeństwa. Zastanawiam się, ile firm się nad tym zastanawia.

Bo w zakresie ryzyk wynikających z prawa pracy - już widać, że może nie koniecznie świadomie, wiele. Lobbowanie przez organizacje pracodawców, trzymanie ręki na pulsie (monitoring stanu i zmian) etc.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Odwaga, ryzyko

Ryzyka prawne są ważną częścią analizy dla ABI, jednakże nie są jedynymi. Zwróćmy uwagę, że ostatnio rola ochrony i zabezpieczeń danych osobowych znacznie wzrasta. Włamania do sieci firmowych, przesyłanie danych bez szyfrowania, infekowanie komputerów również może być przyczyną poważnych problemów. Często utrata zdobytej wieloletnią pracą reputacji w wyniku wycieku danych i odejście klientów są bardziej dotkliwe niż kary finansowe wynikające z przepisów prawnych. Utrata dobrej opinii powoduje spadek sprzedaży, co przekłada się na pomniejszenie zakładanych zysków firmy. Tak więc i w tym przypadku rola ABI w strukturze organizacji i udział w szacowaniu ryzyka ma znaczenie w kontekście ich minimalizacji a mających wpływ na organizację.Dariusz Łydziński edytował(a) ten post dnia 03.06.12 o godzinie 10:47
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Odwaga, ryzyko

Ja bym nieco odwrócił kolejność - ryzyko, odwaga i dodał wyobraźnię.

Ryzyko jest zawsze, większe lub mniejsze, i nie da się go uniknąć. Oczywiście plany awaryjne jakkolwiek je nazwiemy są potrzebne, a nawet niezbędne. Ale do stworzenia tych planów potrzebna jest wyobraźnia (że o wiedzy nie wspomnę). Znając lub poznając ryzyka i mając wyobraźnię (szczególnie skutków) trzeba mieć odwagę podjąć decyzję. Decyzja może być trafna lub nie ale nie jest to najbardziej istotne. Trzeba mieć odwagę ją podjąć.

Niestety ostatnio większość decyzji nie podejmuje się na podstawie wiedzy, doświadczenia, informacji czy wyobraźni lecz na podstawie liczb. Liczby nie kłamią ale te same liczby w zależności jak je przedstawimy mogą zamiast przedstawić prawdziwy obraz dać zupełnie fałszywy (na zasadzie prawda, fałsz, statystyka). A co gorsze często brak odwagi pojęcia decyzji w trakcie projektu nawet w sytuacji gdy katastrofa jest nieunikniona.

A co do pracy ABI-ego i odwagi oraz ryzyka. Stare porzekadło mówi - Szef nie musi znać się na wszystkim. I to jest prawda. Rolą ABI-ego jest dostarczenie szefom informacji o potencjalnych ryzykach (jak słusznie zauważył p. Darek nie tylko tych wymiernych ale również nie wymiernych) z obszaru, za który odpowiada czyli ochrony danych i ich oceny (zarówno prawdopodobieństwa jak i skutków) z jego punktu widzenia. Oczywiście ryzyka nie muszą stricte dotyczyć wyłącznie ochrony danych. W końcu ABI powinien (choć nie zawsze tak jest) mieć największą wiedzę jakie mogą być ewentualne skutki włamania czy utraty danych. Tutaj przydaje się wyobraźnia ponieważ żadna norma z zakresu ochrony ani zbiór dobrych praktyk nie wyczerpuje wszystkich potencjalnych zagrożeń i nie zapewniają ochrony. Tym bardziej przy tak szybkim rozwoju technik wymiany i przetwarzania informacji. Do tego jest jeszcze konieczna odwaga. Może w przypadku ABI-ego nie do końca podjęcia decyzji (choć i ta jest potrzebna) ale do przekazania szczególnie negatywnych informacji i jeżeli sprawa jest słuszna walki o nią.

Porażka czy błędna decyzja powinna nas uczyć jak uniknąć jej w przyszłości. Niestety w większości wypadków uczy asekuranctwa (równie niebezpieczne jak ryzykanctwo).
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Odwaga, ryzyko

Roman Janas:
Niestety ostatnio większość decyzji nie podejmuje się na podstawie wiedzy, doświadczenia, informacji czy wyobraźni lecz na podstawie liczb. Liczby nie kłamią ale te same liczby w zależności jak je przedstawimy mogą zamiast przedstawić prawdziwy obraz dać zupełnie fałszywy (na zasadzie prawda, fałsz, statystyka). A co gorsze często brak odwagi pojęcia decyzji w trakcie projektu nawet w sytuacji gdy katastrofa jest nieunikniona.

Panie Romanie, z norm to możemy co najwyżej przykłady ryzyka i zagrożeń. ;-))) Akurat nieco mnie obecny kierunek irytuje w całym bezpieczeństwie, nie tylko informacji, bo wielu ludziom wydaje się, że jak opanują system zarządzania zgodny z jakąś tam normą, to już jest ok. A to nie tak- to dopiero początek.

Co do skal, czy też statystyki. Jak się trzaska statystykę to tak jest.

Na szkoleniu z szacowania ryzyka (analiza zagrożeń) mam takie fajne ćwiczonka. Łącznie 4.
1. Skale prawdopodobieństwa. OK - rozumiem, że mogą być 0-1-2-3, ale jak uczestnicy zaczynają się zastanawiać, co to znaczy 2? Jak zdefiniować, jak ułożyć w systemie?
2. Skale skutku (wpływu) - znowu podobnie, co to znaczy że wpływ krytyczny? Ja wiem, co to znaczy zatrzymanie zakładu (krytyczne, to zakłócenie działalności podstawowej - do zatrzymania włącznie - w informacjach atrybut dostępności).

Jak się uczestnicy już namęczą, z pełnym opisem w rubryce - przy prawdopodobieństwie i przy wpływie, to zaczyna być pewne zrozumienie dla ryzyka. Bo jak się zrobi np iloczynem (3 ćwiczenie - skale ryzyka), to wyjdą ciekawe elementy. W sensie skale. Bo wystarczy np dla poziomu 2 ryzyka (istotne) to będą wyniki mnożenia od 4 do 6 (dla skal prawdopodbieństwa i skutku 0-3, maks iloczyn 9 - krytyczne). I już łatwo powiedzieć szefowi - że to będzie kombinacja:
prawdopodobne, ze średnim skutkiem
bardzo prawdopodobne ze średnim skutkiem
prawdopodobne z poważnym skutkiem.

I po takich ćwiczonkach trzech, ręczę że patrzenie na skale na których się pracuje, to już nie same cyferki i statystyka. Bo samemu trzeba było w grupie popracować nad opisami, postawić granice, etc. Sprecyzować, oszacować, obronić stanowisko.

4 ćwiczonko jest już bardziej poglądowe - skąd brać informacje o zagrożeniach i ich prawdopodobieństwie. Metod jest dużo. Najczęstsza, w obliczu braku monitoringu incydentów - kawa.

Procedura:
1. Zasypać filiżankę kawą mieloną
2. zalać wrzątkiem
3. posłodzić, jak ktoś lubi i poczekać, aż nieco wystygnie. Można zrobić eksperyment naukowy, w celu zdefiniowania poziomów zagrożeń i skutku materializacji ryzyka poparzenia. Skutek będzie można oszacować, na poziomie utrzymania funkcji mowy (ciągłość działania biznesowego - BCM) (skale: da się gadać, średnio da sie gadać, seplenimy, nie gadamy).
4. Wypić, ale nie zmącić.
5. Spojrzeć do środka z głębokim namysłem... jak zaczniemy myśleć o wakacjach, to znaczy, że juz za długo szacujemy...
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Odwaga, ryzyko

Panie Grzegorzu,

Święte słowa i w pełni się z Panem zgadzam.

Szkoda, że nie miałem przyjemności z Panem pracować. I szkoda, że większość nie reprezentuje Pana poziomu.

Niestety to co napisałem wynika z moich doświadczeń i obserwacji. I wbrew pozorom nie jest problem dotyczący naszego kraju. Powiedziałbym więcej. W Polsce średni poziom wiedzy, ryzyka (określiłbym to jako ułańską fantazję a nie ryzykanctwo) i wyobraźni (szczególnie tego) jest wyższy niż u kolegów z innych krajów europejskich i USA. Chyba tylko Rosjanie nas przewyższają w kwestii ryzyka (tu już można mówić o ryzykanctwie).

Osobiście brałem udział w dwóch naprawdę dużych projektach w których w jednym przypadku koledzy ze Stanów poddali się i powierzyli projekt nam (Polakom) a w drugim po zakończeniu projektu stwierdzili że to nie możliwe, że zrealizowaliśmy go w terminie, z prawdziwym sukcesem i za takie pieniądze. Sami realizowali podobny projekt z dużo większym zespołem i pieniędzmi, który zanotował 6 miesięczne opóźnienie.

Ale niestety dotyczy to raczej starszego pokolenia (powiedzmy ludzi powyżej 40 roku życia) którzy odebrali solidne wykształcenie. Młodzi zapatrzeni szczególnie w amerykańskie wzorce patrzą już zupełnie inaczej. Dla nich liczą się właśnie gołe cyferki którymi potrafią żonglować i amerykański styl czyli normy, procedury i jest ok. Niestety nie zawsze i nie wszędzie jest to dobre. A już nie w bezpieczeństwie gdzie wyobraźnia i umiejętność przewidywania nieprzewidywalnego jest konieczna. Tutaj rzeczy są zawsze podobne ale nie takie same (tak jak w reklamie pewnej marki piwa - prawie to nie to samo) i nie można stosować identycznych rozwiązań.

Co do podanych przykładów ćwiczeń to są naprawdę świetne. Szczerze gratuluję pomysłowości i wiedzy jak w prosty sposób mówić o rzeczach nie prostych.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Odwaga, ryzyko

Procedury, normy, przepisy prawa są środkiem zabezpieczającym, sztuką jest zabezpieczyć się w sposób właściwy przed zagrożeniami i trzeźwe myślenie aby potrafić postąpić właściwie, gdy zauważymy sygnały zagrożenia i je wyprzedzić.
Cuda jednak się zdarzają i zagrożenia potrafią się zmaterializować.
Z mojego podwórka :) Holenderska firma DigiNotar, która wystawiała certyfikaty SSL, ogłosiła upadłość dwa miesiące po tym, jak hakerzy ją zaatakowali. Pewnie można było się uchronić uwzględniając ryzyko, tym bardziej patrząc na działalność jaką wykonywała. Oczywiście to samo zagrożenie ma różną skalę w różnych organizacjach.
I przykład z obecnej chwili https://www.facebook.com/e24cloud/posts/367775866608999
I w tym przypadku cena reputacji może być większa. Tak więc, patrzmy rozsądnie na ryzyka, oceniajmy je i dobierajmy zabezpieczenia adekwatne do zagrożeń i poziomu akceptacji.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Odwaga, ryzyko

Dziękuję panie Romanie za uznanie, ale to tylko kwestia odrobiny praktyki przy budowaniu systemów. Mi się na szczęście udało być przy tworzeniu kilku, zanim jeszcze do Polski trafiły jakiekolwiek standardy. Może z tego wynika dystans.

Darek pisze już o monitoringu. To też mnie niebywale zastanawia w wielu firmach. Zrobią ryzyka, określą jako krytyczne i.... jak rypnie, to aż zadudni.

A to nie tak. Dla krytycznych stosować się powinno trzy poziomy (dokumentacji, szkolenia, działania, zabezpieczenia czy współpracy - nasze instytutowe 5 filarów).

Istotna jest prewencja - czyli zapobieganie, a jak niezarządzalne, monitorowanie parametrów. A nie tylko reakcja. Do tego też co po? Faza odbudowy z zarządzania kryzysowego się kłania. Czyli jak szybko podniesiemy elementy krytyczne i wrócimy do działania.

Mała kryptoreklama, art o systemach.
http://ibii.eu/bezpieczenstwo-oglnie/78-co-wybrac-cz-ii

Przecież każdy z przepisów to swego rodzaju standard. Oczywiście moda na normy będzie tak długo trwała, jak długo firmy będą miały kasę na marketing - więc zawsze.

Ale popatrzmy, poza tymi co wymienione w artykule.

Ustawa o finansach publicznych, art 68, kontrola zarządcza. Szkielet systemu już jest, ryzyko naruszenie dyscypliny finansów. System ma za zadanie przeciwdziałać.

Popatrzmy w ustawę prawo atomowe - rozporządzenie w sprawie ochrony fizycznej obiektów jądrowych. Wprost i cały od początku do końca system bezpieczeństwa opisany.

Sporo mamy "NORM" i "STANDARDÓW" w przepisach prawa. Naprawdę nie trzeba za bardzo kombinować. A czasem spojrzeć wystarczy:
http://bip.mf.gov.pl/_files_/koordynacja_kontroli_fina...

Miłego czytania ;-))
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj