2. Grudzieƒ 2005 www.cso.pl 11
Analiza taka pomo˝e ka˝demu me-
ned˝erowi ds. bezpieczeƒstwa (niezale˝nie
od jego doÊwiadczenia) okreÊliç:
• Jakie zasoby organizacja posiada?
• Gdzie sà one rozmieszczone?
• Jaki wp∏yw majà na funkcjonowanie
organizacji?
• Czy i jakie wyst´pujà dla nich
zagro˝enia?
• Jakie jest prawdopodobieƒstwo
utraty bàdê zniszczenia tych
zasobów?
• Które zasoby powinny byç chronio-
ne, a które tego nie wymagajà?
• Jakie dzia∏ania w zakresie bezpie-
czeƒstwa sà konieczne w celu zabez-
pieczenia chronionych zasobów?
Wymienione aspekty bezpieczeƒstwa sà
kwestiami fundamentalnymi, bez ich anali-
zy nie sposób stworzyç efektywnego syste-
mu bezpieczeƒstwa.
W wielu organizacjach etap ten nie jest
ju˝ traktowany jako coÊ innowacyjnego, sta∏
si´ natomiast elementem dobrej praktyki
biznesowej. Coraz wi´cej organizacji rozu-
mie, ˝e bezpieczeƒstwo nie jest produktem
sprzedawanym klientowi, jest natomiast
elementem budowania zaufania klienta do
firmy jako bezpiecznego, a tym samym sta-
bilnego i wiarygodnego partnera. Takie po-
dejÊcie umo˝liwia stworzenie dobrej, precy-
zyjnej, a przede wszystkim wiarygodnej ma-
py zagro˝eƒ.
SPRÓBUJMY
ZDEFINIOWAå...
Poj´cie mapy zagro˝eƒ jest doÊç nowe i jesz-
cze niewystarczajàco powszechne wÊród or-
ganizacji biznesowych. Stàd wiele ró˝nych
definicji. Niezale˝nie jednak od autora defi-
nicji i jego podejÊcia do tego tematu, jest ona
pierwszym – bazowym dokumentem, okre-
Êlajàcym warunki brzegowe do dalszych
dzia∏aƒ w zakresie bezpieczeƒstwa.
Mapa zagro˝eƒ – rozumiana jest najcz´-
Êciej jako wykaz zagro˝eƒ zewn´trznych
i wewn´trznych o ró˝nym charakterze (kry-
minalne, technologiczne, naturalne itd.),
oddzia∏ujàcych na zasoby organizacji, szcze-
gólnie zaÊ na jej mienie, procesy i informa-
cje o ˝ywotnym znaczeniu dla bezpieczeƒ-
stwa i funkcjonowania organizacji. Istot-
nym aspektem w kontekÊcie tworzenia ma-
py zagro˝eƒ jest koniecznoÊç kompleksowe-
go spojrzenia na chronione zasoby i okreÊla-
nia zagro˝eƒ przez pryzmat profilu organi-
zacji, jej usytuowania, podatnoÊci na wp∏yw
czynników negatywnych o ró˝nym pocho-
dzeniu. Niezale˝nie od okreÊlenia niebez-
pieczeƒstw, mapa zagro˝eƒ musi identyfi-
kowaç tak˝e krytyczne procesy i przewidy-
waç mo˝liwe straty w wyniku ich wystàpie-
nia w organizacji.
W ten sposób podejmowany jest pierw-
szy – bardzo wa˝ny – wysi∏ek w celu za-
pewnienia organizacji mo˝liwie najpe∏niej-
szego bezpieczeƒstwa (niejednokrotnie
jest to w ogóle pierwsze zetkni´cie kadry
zarzàdzajàcej organizacjà z problematykà
bezpieczeƒstwa).
Wa˝nà konsekwencjà okreÊlenia mapy
zagro˝eƒ, oprócz wyznaczenia kierunków
dzia∏ania w zakresie bezpieczeƒstwa, jest
stworzenie dogodnych warunków do
zwi´kszenia zaanga˝owania kadry non-se-
curity w procesy zarzàdzania bezpieczeƒ-
stwem poprzez podniesienie poziomu jej
ÊwiadomoÊci, szczególnie zaÊ ujawnienie
problemów, jakie niesie z sobà funkcjono-
wanie organizacji. Takie podejÊcie – jeÊli
jest prezentowane przez ca∏à kadr´ zarzà-
dzajàcà organizacjà – pozwala na prostsze
stworzenie systemu bezpieczeƒstwa i uzy-
skanie du˝o wi´kszej efektywnoÊci opera-
cyjnej i ekonomicznej.
OD TEORII
DO PRAKTYKI...
OkreÊlenie ryzyka – sporzàdzenie mapy za-
gro˝eƒ – jest pierwszym elementem cyklu
zarzàdzania bezpieczeƒstwem.
Przyj´cie powy˝szego sposobu prowa-
dzenia polityki bezpieczeƒstwa wymaga
konsekwencji w dzia∏aniu, dajàc jednak wy-
mierne efekty ju˝ wkrótce po wprowadzeniu
go w ˝ycie. Istotnym elementem tej cz´Êci
cyklu zarzàdzania bezpieczeƒstwem jest du-
˝a liczba niewiadomych, szczególnie w za-
kresie oceny podatnoÊci organizacji i po-
szczególnych jej komponentów na zagro˝e-
nia. Jest to swego rodzaju odkrywanie bia-
∏ych plam w bezpieczeƒstwie organizacji.
Proces ten jest trudny i jednoczeÊnie bardzo
wra˝liwy, poniewa˝ od jego wyników zale˝à
dalsze decyzje biznesowe i efekt koƒcowy,
czyli jakoÊç systemu bezpieczeƒstwa.
Dlatego zaczàç nale˝y od zebrania da-
nych charakteryzujàcych podatnoÊç organi-
zacji na niebezpieczeƒstwa, uwzgl´dniajàc
nast´pujàce elementy:
1. Jakie sà oceny poziomu zagro˝eƒ for-
mu∏owane przez:
• odpowiedzialne za bezpieczeƒstwo in-
stytucje paƒstwowe;
• media;
• instytucje analityczne;
• firmy ochrony;
• firmy ubezpieczeniowe.
2. Czy chronione zasoby (ludzie, mienie,
informacje, technologia) sà atrakcyjne
dla Êrodowisk przest´pczych?
3. Czy zasoby te sà podatne na zniszcze-
nie lub dewastacj´ w wyniku innych
Najlepsza droga do sprawnego i efektywnego
zarzàdzania bezpieczeƒstwem rozpoczyna si´ od identyfikacji
zagro˝eƒ, zwanej cz´sto mapà zagro˝eƒ.
Jacek Grzechowiak
3. 12 www.cso.pl Grudzieƒ 2005
Temat z ok∏adki [Mapa zagro˝eƒ]
czynników (np. katastrofy naturalne,
techniczne)?
4. Jak sàsiedztwo wp∏ywa na nasze bez-
pieczeƒstwo? Szczególnie czy w najbli˝-
szym sàsiedztwie mia∏y miejsce incy-
denty w bezpieczeƒstwie?
5. Jakie rekomendacje w zakresie po˝à-
danego poziomu bezpieczeƒstwa po-
siadamy od w∏aÊcicieli, udzia∏owców,
zarzàdu?
Ogólna znajomoÊç êróde∏ informacji
o zagro˝eniach, bywa trudna do prze∏o˝enia
na praktyk´. Wiele zale˝y od inwencji mene-
d˝era bezpieczeƒstwa i jego zaanga˝owania.
Równie˝ po stronie instytucji paƒstwowych
czy towarzystw ubezpieczeniowych jest wie-
le zrobienia.
Na Êwiecie uzyskanie informacji, a na-
wet rekomendacji odnoÊnie bezpieczeƒstwa
nie stanowi takiego problemu. Przyk∏adem
mo˝e byç realizowany przez brytyjskà poli-
cj´ program wsparcia w zakresie prewencji
pod nazwà „Secured by design” (www.se-
curedbydesign.com), który wp∏ynà∏ na
znaczne ograniczenie przest´pczoÊci. Rów-
nie˝ towarzystwa ubezpieczeniowe oraz
brokerzy coraz cz´Êciej udost´pniajà ró˝ne-
go rodzaju analizy bezpieczeƒstwa, które
w dobie terroryzmu doÊç cz´sto dotyczà te-
go w∏aÊnie zagro˝enia. Analiza takich mate-
ria∏ów, szczególnie w sytuacji porównania
danych z kilku lat, pozwala na wskazanie
trendów, wa˝nego elementu analizy bezpie-
czeƒstwa. Przyk∏adem takiego êród∏a mo˝e
byç 2005 Global Terrorism Risk Map
(www.aon.com).
W naszym kraju przez wiele lat mieliÊmy
do czynienia z murem tajnoÊci, skutecznie
utrudniajàcym pozyskanie informacji nie-
zb´dnych do stworzenia bezpiecznego Êro-
dowiska funkcjonowania organizacji. W ta-
kiej sytuacji najwi´cej zale˝a∏o od doÊwiad-
czenia i intuicji mened˝era bezpieczeƒstwa.
Sà jednak pierwsze oznaki zmian w tym za-
kresie. Jednym z dobrych przyk∏adów jest
Warszawska Mapa Bezpieczeƒstwa (warsza-
wa.naszemiasto.pl/warszawska_mapa_bez-
pieczenstwa), przedstawiajàca analiz´ stanu
bezpieczeƒstwa poszczególnych dzielnic
Warszawy, okreÊlajàc przy tym „nat´˝enie”
czynów przest´pczych. Tego typu materia∏
powinien byç dla mened˝era bezpieczeƒ-
stwa przedmiotem wnikliwej analizy.
Wykorzystanie wielu êróde∏ informacji
jest niezb´dne do zbudowania lepszych
– bardziej wiarygodnych, obarczonych
mniejszym ryzykiem b∏´du systemów bez-
pieczeƒstwa. ZnajomoÊç danych z takich
êróde∏ jest tak˝e powa˝nym wzmocnie-
niem argumentów mened˝era bezpieczeƒ-
stwa w kontaktach z kadrà zarzàdzajàcà.
Pozwala mened˝erowi bezpieczeƒstwa na
operowanie obiektywnymi argumentami,
które trudno obaliç niedowiarkom.
JakoÊç pierwszego elementu ma zawsze
decydujàcy wp∏yw na kolejne etapy cyklu za-
rzàdzania bezpieczeƒstwem. W∏aÊciwe, pe∏-
ne i rzetelne zidentyfikowanie chronionych
zasobów, ich podatnoÊci na zagro˝enia oraz
wp∏ywu na bezpieczeƒstwo ca∏ej organizacji
determinuje jakoÊç i wartoÊç mapy zagro˝eƒ,
a wi´c jest tym elementem, który decyduje
o jakoÊci ca∏ego systemu bezpieczeƒstwa. Na
tym etapie tworzenia mapy konieczne jest
Êcis∏e wspó∏dzia∏anie mened˝era ds. bezpie-
czeƒstwa z pozosta∏ymi osobami zarzàdzajà-
cymi organizacjà. WartoÊciowe jest korzysta-
nie ze êróde∏ zewn´trznych, pozwalajàcych
w sposób niezale˝ny oceniç wartoÊç i wra˝li-
woÊç poszczególnych procesów, informacji
czy mienia na zniszczenie lub utrat´ z innej
przyczyny. Zrealizowanie tego procesu,
zw∏aszcza w du˝ych organizacjach, nie jest
proste1
i dlatego zaleca si´ metodyczne po-
dejÊcie do okreÊlenia kategorii chronionych
zasobów. Celowe jest wi´c podczas tworzenia
mapy zagro˝eƒ podzielenie chronionych za-
sobów na kategorie, którym z kolei zostanà
przyporzàdkowane odpowiednie – zale˝ne
od potrzeb organizacji – priorytety:
• ludzie (personel sta∏y i kontraktowy,
• klienci, goÊcie, podwykonawcy),
• mienie (komponenty, wyroby gotowe),
• maszyny i urzàdzenia, sprz´t infor-
matyczny, pojazdy);
• informacje (zarówno w systemach
IT, jak i przetwarzane w inny spo-
sób, np. archiwa papierowe danych
osobowych itd.);
• procesy (dostawa, produkcja, maga-
zynowanie, inne procedury krytycz-
ne dla organizacji).
Najwy˝szy priorytet dotyczy ochrony lu-
dzi, poniewa˝ to w∏aÊnie oni tworzàc orga-
nizacj´, sà dla niej najwa˝niejsi. Jednocze-
Ênie straty organizacji w przypadku nara˝e-
nia ˝ycia bàdê zdrowia ludzi sà najbardziej
dotkliwe. Dlatego t´ kategori´ chronionych
zasobów nale˝y potraktowaç szczególnie
wnikliwie.
Priorytety dla pozosta∏ych kategorii na-
le˝y nadaç w porozumieniu z kadrà zarzà-
dzajàcà, jako osobami w∏aÊciwymi do oceny
wartoÊci chronionych zasobów. Nadajàc
priorytet, najcz´Êciej przyjmuje si´ jako za-
sad´ nadrz´dnà wypadkowà wartoÊci (ma-
terialnej i niematerialnej) mienia, procesu
lub informacji dla bezpieczeƒstwa, intere-
sów, stabilnoÊci i pozycji rynkowej organi-
zacji oraz jego podatnoÊci na utrat´ lub
zniszczenie.
DoÊç cz´stym b∏´dem pope∏nianym we
wst´pnym etapie tworzenia mapy zagro˝eƒ,
jest bagatelizowanie znaczenia mienia/pro-
cesu bàdê informacji. W zdecydowanej
wi´kszoÊci przypadków wynika to z niewy-
starczajàcej znajomoÊci zasad bezpieczeƒ-
stwa ze strony kadry non-security, jak rów-
nie˝ z niedostatecznej znajomoÊci wartoÊci
chronionych zasobów dla organizacji ze
strony mened˝erów ds. bezpieczeƒstwa.
Stàd konieczne jest odpowiednie przygoto-
wanie kadry non-security do udzia∏u w pro-
cesie tworzenia mapy zagro˝eƒ. W∏aÊciwe
Rysunek 1. Cykl zarzàdzania bezpieczeƒstwem
4. Grudzieƒ 2005 www.cso.pl 13
okreÊlenie i nadanie priorytetu kategoriom
chronionych zasobów jest bowiem mo˝liwe
wy∏àcznie przy pe∏nym zaanga˝owaniu ka-
dry zarzàdzajàcej organizacjà i poszczegól-
nymi jej dzia∏ami oraz w∏aÊciwym zrozumie-
niu szeroko poj´tej problematyki bezpie-
czeƒstwa przez te osoby.
Jednym z wa˝niejszych elementów cy-
klu zarzàdzania bezpieczeƒstwem jest okre-
Êlenie adekwatnoÊci przyj´tych rozwiàzaƒ
do zagro˝eƒ. Analiza taka ma bezpoÊredni
wp∏yw na map´ zagro˝eƒ, bowiem jednym
z zagro˝eƒ o charakterze krytycznym jest
niew∏aÊciwy poziom zastosowanych rozwià-
zaƒ. Do tego aspektu nale˝y zaliczyç mi´dzy
innymi nast´pujàce czynniki:
• widoczny – prowokujàcy brak syste-
mów bezpieczeƒstwa;
• niska sprawnoÊç techniczna urzà-
dzeƒ, wysoka awaryjnoÊç, degrada-
cja generacyjna;
• brak procedur bezpieczeƒstwa bàdê
ich lekcewa˝enie przez pracowników;
• zbyt ma∏y lub niekompetentny sk∏ad
dzia∏u bezpieczeƒstwa.
Wymienione powy˝ej zagro˝enia mogà
byç dostrze˝one dopiero w trakcie kolejnego
tworzenia mapy zagro˝eƒ. Ich jednoznacz-
nie krytyczny, a nawet destrukcyjny wp∏yw
na bezpieczeƒstwo chronionych zasobów
nie ulega wàtpliwoÊci. Z tego wzgl´du tak
bardzo istotne jest cykliczne aktualizowanie
mapy.
SAMO ˚YCIE...
Stworzenie i wprowadzenie w ˝ycie cyklu
zarzàdzania bezpieczeƒstwem jest jedynie
poczàtkiem drogi. Mapa zagro˝eƒ nie jest
bowiem aktualna bezwarunkowo i bezter-
minowo. Wymaga ona sta∏ego aktualizo-
wania, co jest zwiàzane najcz´Êciej ze zmia-
nà sytuacji, w której funkcjonuje organiza-
cja (stan bezpieczeƒstwa w dalszym i bli˝-
szym otoczeniu, sytuacja polityczna i eko-
nomiczna, ogólny stan bezpieczeƒstwa we-
wnàtrz organizacji), a tak˝e z ewolucjà sa-
mej organizacji. Dlatego tak wa˝nym ele-
mentem jest w∏àczenie w proces tworzenia
i bie˝àcej aktualizacji mapy ca∏ej kadry za-
rzàdzajàcej organizacjà. Najcz´Êciej jednak
tworzenie mapy zagro˝eƒ jest pozostawia-
ne mened˝erowi ds. bezpieczeƒstwa, zaan-
ga˝owanie zaÊ pozosta∏ych pracowników
jest znikome. Stàd istotne zubo˝enie da-
nych bazowych, niezb´dnych do stworze-
nia mapy zagro˝eƒ, co wp∏ywa jednoznacz-
nie negatywnie na jakoÊç mapy i poziom
bezpieczeƒstwa organizacji.
Niewàtpliwie g∏ównà rol´ w procesie
tworzenia mapy zagro˝eƒ odgrywa mene-
d˝er ds. bezpieczeƒstwa. JakoÊç mapy zagro-
˝eƒ jest wypadkowà jego postawy, wiedzy,
doÊwiadczenia, zaanga˝owania i relacji z po-
zosta∏à kadrà organizacji. Mened˝er ds. bez-
pieczeƒstwa powinien przede wszystkim
kreowaç w∏aÊciwe podejÊcie do spraw bez-
pieczeƒstwa, to w jego gestii jest wnikliwa
ocena:
• danych uzyskanych z instytucji
zajmujàcych si´ profesjonalnie
bezpieczeƒstwem;
• sytuacji operacyjnej wokó∏ obiektu
(obiektów), w którym (których)
znajdujà si´ chronione zasoby;
• chronionych zasobów, pod kàtem
prawdopodobieƒstwa wystàpienia
incydentów zagra˝ajàcym ich
bezpieczeƒstwu;
• bie˝àcych zmian w konfiguracji
obiektów, w których zlokalizowane
sà chronione zasoby i ich wp∏ywu
na stan bezpieczeƒstwa;
• zagro˝eƒ wewn´trznych.
Ka˝da zmiana w stanie bezpieczeƒstwa
powinna znaleêç odzwierciedlenie w mapie
zagro˝eƒ. Dzi´ki temu istnieje szansa, ˝e
stan bezpieczeƒstwa obiektu b´dzie utrzy-
mywany na jednakowym poziomie.
T
worzenie systemu zarzàdzania bez-
pieczeƒstwem jest procesem wielo-
etapowym, skomplikowanym, a jed-
noczeÊnie majàcym istotny wp∏yw na póê-
niejszy stan bezpieczeƒstwa organizacji. Jak
ka˝dy proces, tworzenie systemu zarzàdza-
nia bezpieczeƒstwem musi mieç stabilne
podstawy, pozwalajàce jasno i precyzyjnie
okreÊliç, co, gdzie i jak nale˝y chroniç. Takim
fundamentem jest w∏aÊnie mapa zagro˝eƒ,
która przedstawia wp∏yw czynników ze-
wn´trznych oraz wewnàtrzorganizacyjnych
na stan bezpieczeƒstwa. Wiedza o zagro˝e-
niach jest niezmiernie wa˝na, pozwala zro-
zumieç zachodzàce wokó∏ chronionych
obiektów procesy, ujawniç ich wp∏yw na
stan bezpieczeƒstwa, okreÊliç rodzaj Êrod-
ków, jakie nale˝y zastosowaç w celu zmini-
malizowania zagro˝eƒ, a tak˝e – poprzez cy-
klicznà aktualizacj´ mapy zagro˝eƒ – okre-
Êliç trend w zakresie bezpieczeƒstwa.
Zrozumienie potrzeby opracowania i ak-
tualizacji mapy zagro˝eƒ dla mened˝erów ds.
bezpieczeƒstwa oraz przedstawicieli kadry za-
rzàdzajàcej du˝ych organizacji nie jest ju˝ ni-
czym nowym. Gorzej przedstawia si´ sytuacja
w organizacjach nieposiadajàcych profesjo-
nalnych kadr bezpieczeƒstwa, w których wi-
doczne jest oczekiwanie na incydent w bez-
pieczeƒstwie. Ta praktyka bywa bardzo kosz-
towna (dos∏ownie i w przenoÊni) – wiedzà
o tym z regu∏y ci, którzy mapy zagro˝eƒ wy-
konujà od dawna i dbajà o ich aktualizacj´.
Dobrze wykonana mapa zagro˝eƒ daje
podstawy do stworzenia sprawnego, efek-
tywnego i ekonomicznego systemu bezpie-
czeƒstwa. Jest pierwszym elementem tego
systemu, pozwalajàc na faktyczne okreÊle-
nie potrzeb w zakresie bezpieczeƒstwa. Two-
rzàc map´ zagro˝eƒ, organizacja mo˝e do-
strzec faktyczne zagro˝enia i odpowiednio
ukierunkowaç swoje dzia∏ania. Co wa˝ne,
stworzenie mapy zagro˝eƒ jest dzia∏aniem
typowo organizacyjnym, czyli niemal niege-
nerujàcym kosztów. s
Autor jest absolwentem Podyplomowych
Studiów Bezpieczeƒstwa Europejskiego.
1
Z doÊwiadczeƒ autora wynika, ˝e tworzenie mapy
zagro˝eƒ w organizacjach funkcjonujàcych w struktu-
rze rozproszonej jest powa˝nie utrudnione, gdy zna-
jomoÊç samej struktury organizacyjnej nie jest pe∏na.
Sytuacja ta nie nale˝y wcale do rzadkoÊci, wr´cz
przeciwnie, du˝e organizacje, szczególnie oparte
na strukturze macierzowej, nie zawsze posiadajà
pe∏ny i wyczerpujàcy opis wzajemnych powiàzaƒ,
co w przypadku definiowania zagro˝eƒ dla procesów
biznesowych jest szczególnie niekorzystne.