Temat: Ogłoszenia
Szacowanie i ocena ryzyka w organizacji
Szkolenie w pierwszej wersji powstało w roku 2007. Od tego czasu z pewnymi modyfikacjami jest prowadzone przez tego samego trenera. Zmiany jakie zostały wprowadzone do programu szkoleniowego związane są z nowymi standardami, jakie pojawiają się na rynku oraz z rozwojem własnych narzędzi zarządzania bezpieczeństwem. Obecne szkolenie jest pierwszym wydarzeniem po modyfikacji programu – obecna wersja to wersja nr 3.
Cel szkolenia
Celem szkolenia jest zapoznanie Uczestników z problematyką szacowania i oceny ryzyka. W trakcie szkolenia przedstawione zostaną modele, które stosowane są z powodzeniem w Instytucie Bezpieczeństwa i Informacji, a które w sposób prosty i przejrzysty pozwalają prezentować wyniki szacowania i oceny ryzyka w organizacji.
Dla kogo?
Udział w szkoleniu będzie ciekawym wydarzeniem dla osób, które pracują z ryzykiem strategicznym i operacyjnym, Administratorów Bezpieczeństwa Informacji (CISO), osób odpowiedzialnych za wdrożenia systemów zarządzania bezpieczeństwem, zgodnych z normami ISO, czy pracowników działów bezpieczeństwa banków i organizacji, które muszą realizować założenia nowej rekomendacji M i D, wydanych przez Komisję Nadzoru Finansowego. Zapraszamy również osoby odpowiedzialne za bezpieczeństwo fizyczne firm, organizacji i obiektów. Szkolenie jest również elementem ścieżek rozwoju zawodowego IBII:
Audytor Bezpieczeństwa, w zakresie umiejętności czytania i interpretacji wyników analizy i szacowania ryzyka opartych o różne systemy.
ABI (CISO) – administrator bezpieczeństwa informacji, zgodnie z Ustawą o Ochronie danych Osobowych zakres identyfikacji zagrożeń stanowiący podstawę projektowania systemu zarządzania bezpieczeństwem danych osobowych (art. 36 Ustawy – adekwatność systemu w odniesieniu do zagrożeń), a dla CISO – elementy związane z realizacją standardów zarządzania bezpieczeństwem informacji – w tym w szczególności ISO/IEC 27001.
Security Manager – szef bezpieczeństwa. W zakresie oceny i identyfikacji zagrożeń i ryzyka dla organizacji, z elementami zarządzania ciągłością działania.
Sposób podejścia do szacowania i oceny ryzyka jaki zostanie zaprezentowany w trakcie szkolenia, oparty jest o wiodące standardy nie tylko zarządzania ryzykiem, ale również bezpieczeństwa organizacji. Pokazuje jak łączyć w sobie wymagania ryzyka strategicznego i operacyjnego. Jak szacować ryzyko dla procesów, a jak dla zasobów. Czemu wartościowanie jest tak istotne i dlaczego nie powinno opierać się tylko na wartości księgowej.
Korzyści
Korzyści z udziału w szkoleniu jest bardzo dużo. Tak dużo, że nie da się ich wszystkich wypisać. Najważniejsze z nich to:
Wiedza o najważniejszych standardach szacowania i oceny ryzyka (zarządzania ryzykiem) w różnych sektorach;
Umiejętność opracowania własnego systemu szacowania i oceny ryzyka w organizacji (przewidzianych jest od 6 do 12 ćwiczeń praktycznych);
Umiejętność przeprowadzenia analizy, oceny oraz prezentacji wyników szacowania i oceny ryzyka;
Wiedza o źródłach informacji o zagrożeniach – ogólnodostępnych i tych mniej dostępnych (w tym wykorzystanie systemu monitorowania incydentów i naruszeń bezpieczeństwa);
Podstawy do planowania systemów zarządzania bezpieczeństwem – organizacji lub obszarów za które pracownicy są odpowiedzialni – bezpieczeństwa organizacji, bezpieczeństwa fizycznego, bezpieczeństwa informacji, procesu, ciągłości działania etc.
Ramowy plan szkolenia
Podstawowe pojęcia – ryzyko, prawdopodobieństwo, skutek, zagrożenie, podatność, atrybut.
Korzyści i wymagania związane z zarządzaniem ryzykiem (wymagania prawne, kontrahentów, norm, standardów, ubezpieczycieli)
Ryzyko strategiczne, a ryzyko operacyjne. Czy ryzyko dla zasobów (aktywów)? Jak określić cel (kontekst) zarządzania ryzykiem?
Zasoby, procesy, aktywa… Identyfikacja i wartościowanie aktywów.
Zagrożenia… Źródła, cechy, siła oddziaływania zagrożenia. Zagrożenie a podatność – wykorzystanie w szacowaniu i ocenie ryzyka.
Ryzyko dla procesu – jak oceniać ryzyka związane z procesami głównymi, zarządczymi, pomocniczymi? Wstęp do systemów zarządzania ciągłością działania.
Proces oceny ryzyka – co potrzebne, jakie działania, jakie uzgodnienia i kto za co odpowiada?
Strategia postępowania z ryzykiem – wstęp.
Ćwiczenia:
Arkusz identyfikacji i wartościowania zasobu – na podstawie przebiegu procesu oraz na podstawie inwentaryzacji na modelu klasycznym (macierz powiązań) (2 ćwiczenia).
Tworzenie podstawowego katalogu zagrożeń, macierzy zagrożeń (wraz z identyfikacją źródeł informacji o zagrożeniach). Wymiar strategiczny i wymiar operacyjny (2 ćwiczenia).
Tworzenie skali prawdopodobieństwa.
Tworzenie skali skutku materializacji ryzyka – skale dla ryzyk operacyjnych, finansowych, reputacyjnych (utraty wizerunku), prawnych.
Personel w zarządzaniu ryzykiem – tworzenie struktur zarządzania ryzykiem – siatka bezpieczeństwa.
Zarządzanie projektem, a zarządzanie ryzykiem – podstawowe metody i zasady zarządzania projektami (wykres Gantta, ścieżka krytyczna) (2 ćwiczenia)
Analizy wewnętrzne organizacji – a zarządzanie ryzykiem. Wstęp do wykorzystania analizy PEST(LE), Macierzy BCG oraz SWOT w szacowaniu i ocenie ryzyka (3 ćwiczenia).
Wszystkie ćwiczenia są oparte o narzędzia Instytutu Bezpieczeństwa i Informacji wykorzystywane w audytach bezpieczeństwa, szacowaniu i ocenie ryzyka, zarządzaniu ryzykiem, wdrożeniach systemów zarządzania bezpieczeństwem różnych obszarów, systemów zarządzania ciągłością działania oraz ocenach stanu bezpieczeństwa.
Prowadzący
Grzegorz Krzemiński. Prezes Zarządu Instytutu Bezpieczeństwa i Informacji, czynnie biorący udział we wdrożeniach, audytach i szkoleniach realizowanych przez firmę. Odpowiedzialny w realizacjach za wymiar strategiczny, organizacje i realizację audytów od strony technicznej, analizy zagrożeń i oceny ryzyka.
Praktyk zarządzania bezpieczeństwem, zarówno publicznym jak i prywatnym oraz korporacyjnym(18 lat doświadczenia). Wykonywał zadania oraz prowadził szkolenia dla znanych firm krajowych i międzynarodowych, między innymi: Grupy Kęty S.A., Anpharm S.A. (struktura koncernu Servier), Grupa Ciech, Meble VOX i Drewno VOX, Procter & Gamble, Alupol, Solid Security, Bridgestone, Telekomunikacja Polska S.A., Dermika, PKO BP S.A., Cederroth (właściciel marki Sorya, Salvequick), Akromar, Agora S.A., PKP S.A. Oddział Dworce Kolejowe, a w obszarze firm i instytucji administracji publicznej: Najwyższa Izba Kontroli, Naczelny Sąd Administracyjny, Polska Agencja Żeglugi Powietrznej, Straż Miejska Miasta Krakowa, Straż Miejska m. st. Warszawy, Generalny Inspektora Celny (Inspekcja Celna). Realizował również zadania jako niezależny konsultant z zakresu bezpieczeństwa biznesu, inwestycji, ochrony osób i mienia (w tym koordynacja, organizacja i bezpośrednia ochrona osobista jednego z liderów czołowej partii politycznej). Były ratownik z warszawskiego pogotowia ratunkowego oraz strażak – ochotnik z kilkuletnim doświadczeniem w akcjach ratowniczo – gaśniczych.
Obecny zakres działań to głównie audyty bezpieczeństwa (od 2000 roku), zarządzanie bezpieczeństwem informacji (również od 2000 roku) audyty systemów zarządzania ciągłością działania, systemów zarządzania bezpieczeństwem informacji, systemów zarządzania bezpieczeństwem fizycznym. Wdrożenia jakie realizował obejmowały bezpieczeństwo fizyczne, bezpieczeństwo informacji, bezpieczeństwo i ciągłość działania procesów biznesowych .
Szkolenia prowadzi od ponad 12 lat. Licząc w osobodniach – przeszkolił z różnych zakresów ponad 5 tys. osób zarówno pracowników sektora cywilnego jak i funkcjonariuszy służb i instytucji administracji publicznej. Zapraszany jako prelegent i mówca na spotkania i konferencje zarówno tematyczne – poświęcone bezpieczeństwu (około 15 do 30 konferencji, seminariów i kongresów rocznie) jak i na spotkania prowadzone dla i przez kadrę menedżerską średniego i wyższego szczebla, co pozwala doskonale orientować się w kierunkach zarządzania w organizacjach w Polsce.
Szerokie doświadczenie praktyczne jak i duża wiedza teoretyczna gwarantuje szkolenie na bardzo wysokim poziomie, oparte głównie na praktycznej wiedzy i umiejętności wykorzystania standardów bezpieczeństwa oraz wiedzy o zarządzaniu.
Informacje organizacyjne:
Na szkolenie można zapisać się wysyłając maila na adres: szkolenia@ibii.eu. Koszt szkolenia to 500 pln netto / 615 pln brutto. Wymagane do udziału w szkoleniu jest wypełnienie i odesłanie formularza (otrzymanego w mailu zwrotnym) oraz uiszczenie opłaty na wskazane w formularzu konto nie później niż 3 dni przed szkoleniem.
Szkolenie odbędzie się we Wrocławiu, w ośrodku WenderEdu, ul. Św. Jana 1/3. Uczestnikom gwarantujemy dobrą atmosferę, materiały szkoleniowe (drukowane), przerwy kawowe w ciągu całego szkolenia. A także 30 dniowe konsultacje z ekspertami i konsultantami Instytutu Bezpieczeństwa i Informacji. Oczywiście w zakresie zdrowego rozsądku – nie podejmiemy się rozwiązania problemów na maila – możemy tylko podpowiedzieć kierunki i metody.
Termin szkolenia – 28 marca 2013, godz. 9:00-17:00
Wybrane opinie z wcześniejszych szkoleń:
Nie wiedziałem, że jest w Polsce tyle dostępnych norm i standardów bezpieczeństwa. To co Grzegorz pokazał, to istna encyklopedia. Na szkoleniu okazało się, że nie jest to wcale trudne zagadnienie. Obecnie stosuję PEST-a i SWOT do prezentacji wyników analiz.(Uczestnik - Polska południowo - zachodnia)
Nowatorskie i całkowicie nietypowe podejście do bezpieczeństwa. Szacowanie i ocena ryzyka naprawdę może być procesem wspierającym biznes. Dziękuję. (Uczestniczka - Polska centralna)
Uczestniczyłem w wielu szkoleniach certyfikujących audytorów i pełnomocników norm ISO i BS. Grzegorz pokazał, że nie wolno zamykać się w normach. Od czasu szkolenia traktuję je jako przewodnik, ale wiem jak samemu budować analizę ryzyka.(Uczestnik - Pomorze)
Brzydkie powiedzenie – 100 lat za murzynami. Po szkoleniu jestem 100 lat przed murzynami. To co Grzegorz pokazał 3 lata temu dziś jest w standardach. Byłem szybszy dzięki szkoleniom IBI.(Uczestnik - Polska południowa)
Dzięki szkoleniom Instytutu prowadzonym przez Grzegorza jestem dziś CSO na Polskę. Negocjacje z moim obecnym pracodawcą były bardzo krótkie, niecałe 2 tygodnie. Dziękuję za pokazanie i nauczenie, jak bezpieczeństwo ma wspierać biznes. Naprawdę a nie w deklaracjach i polityce bezpieczeństwa. Dobry punkt wyjścia do kariery w korporacji w strukturach bezpieczeństwa. (Uczestnik - Polska południowa)