SlideShare uma empresa Scribd logo

cso_mapa

J
Jacek Grzechowiak
1 de 4
Baixar para ler offline
FOTO:10 www.cso.pl Grudzieƒ 2005 ZARZÑDZANIE BEZPIECZE¡STWEM: MAPAZAGRO˚E¡
Grudzieƒ 2005 www.cso.pl 11 Analiza taka pomo˝e ka˝demu me- ned˝erowi ds. bezpieczeƒstwa (niezale˝nie od jego doÊwiadczenia) okreÊliç: • Jakie zasoby organizacja posiada? • Gdzie sà one rozmieszczone? • Jaki wp∏yw majà na funkcjonowanie organizacji? • Czy i jakie wyst´pujà dla nich zagro˝enia? • Jakie jest prawdopodobieƒstwo utraty bàdê zniszczenia tych zasobów? • Które zasoby powinny byç chronio- ne, a które tego nie wymagajà? • Jakie dzia∏ania w zakresie bezpie- czeƒstwa sà konieczne w celu zabez- pieczenia chronionych zasobów? Wymienione aspekty bezpieczeƒstwa sà kwestiami fundamentalnymi, bez ich anali- zy nie sposób stworzyç efektywnego syste- mu bezpieczeƒstwa. W wielu organizacjach etap ten nie jest ju˝ traktowany jako coÊ innowacyjnego, sta∏ si´ natomiast elementem dobrej praktyki biznesowej. Coraz wi´cej organizacji rozu- mie, ˝e bezpieczeƒstwo nie jest produktem sprzedawanym klientowi, jest natomiast elementem budowania zaufania klienta do firmy jako bezpiecznego, a tym samym sta- bilnego i wiarygodnego partnera. Takie po- dejÊcie umo˝liwia stworzenie dobrej, precy- zyjnej, a przede wszystkim wiarygodnej ma- py zagro˝eƒ. SPRÓBUJMY ZDEFINIOWAå... Poj´cie mapy zagro˝eƒ jest doÊç nowe i jesz- cze niewystarczajàco powszechne wÊród or- ganizacji biznesowych. Stàd wiele ró˝nych definicji. Niezale˝nie jednak od autora defi- nicji i jego podejÊcia do tego tematu, jest ona pierwszym – bazowym dokumentem, okre- Êlajàcym warunki brzegowe do dalszych dzia∏aƒ w zakresie bezpieczeƒstwa. Mapa zagro˝eƒ – rozumiana jest najcz´- Êciej jako wykaz zagro˝eƒ zewn´trznych i wewn´trznych o ró˝nym charakterze (kry- minalne, technologiczne, naturalne itd.), oddzia∏ujàcych na zasoby organizacji, szcze- gólnie zaÊ na jej mienie, procesy i informa- cje o ˝ywotnym znaczeniu dla bezpieczeƒ- stwa i funkcjonowania organizacji. Istot- nym aspektem w kontekÊcie tworzenia ma- py zagro˝eƒ jest koniecznoÊç kompleksowe- go spojrzenia na chronione zasoby i okreÊla- nia zagro˝eƒ przez pryzmat profilu organi- zacji, jej usytuowania, podatnoÊci na wp∏yw czynników negatywnych o ró˝nym pocho- dzeniu. Niezale˝nie od okreÊlenia niebez- pieczeƒstw, mapa zagro˝eƒ musi identyfi- kowaç tak˝e krytyczne procesy i przewidy- waç mo˝liwe straty w wyniku ich wystàpie- nia w organizacji. W ten sposób podejmowany jest pierw- szy – bardzo wa˝ny – wysi∏ek w celu za- pewnienia organizacji mo˝liwie najpe∏niej- szego bezpieczeƒstwa (niejednokrotnie jest to w ogóle pierwsze zetkni´cie kadry zarzàdzajàcej organizacjà z problematykà bezpieczeƒstwa). Wa˝nà konsekwencjà okreÊlenia mapy zagro˝eƒ, oprócz wyznaczenia kierunków dzia∏ania w zakresie bezpieczeƒstwa, jest stworzenie dogodnych warunków do zwi´kszenia zaanga˝owania kadry non-se- curity w procesy zarzàdzania bezpieczeƒ- stwem poprzez podniesienie poziomu jej ÊwiadomoÊci, szczególnie zaÊ ujawnienie problemów, jakie niesie z sobà funkcjono- wanie organizacji. Takie podejÊcie – jeÊli jest prezentowane przez ca∏à kadr´ zarzà- dzajàcà organizacjà – pozwala na prostsze stworzenie systemu bezpieczeƒstwa i uzy- skanie du˝o wi´kszej efektywnoÊci opera- cyjnej i ekonomicznej. OD TEORII DO PRAKTYKI... OkreÊlenie ryzyka – sporzàdzenie mapy za- gro˝eƒ – jest pierwszym elementem cyklu zarzàdzania bezpieczeƒstwem. Przyj´cie powy˝szego sposobu prowa- dzenia polityki bezpieczeƒstwa wymaga konsekwencji w dzia∏aniu, dajàc jednak wy- mierne efekty ju˝ wkrótce po wprowadzeniu go w ˝ycie. Istotnym elementem tej cz´Êci cyklu zarzàdzania bezpieczeƒstwem jest du- ˝a liczba niewiadomych, szczególnie w za- kresie oceny podatnoÊci organizacji i po- szczególnych jej komponentów na zagro˝e- nia. Jest to swego rodzaju odkrywanie bia- ∏ych plam w bezpieczeƒstwie organizacji. Proces ten jest trudny i jednoczeÊnie bardzo wra˝liwy, poniewa˝ od jego wyników zale˝à dalsze decyzje biznesowe i efekt koƒcowy, czyli jakoÊç systemu bezpieczeƒstwa. Dlatego zaczàç nale˝y od zebrania da- nych charakteryzujàcych podatnoÊç organi- zacji na niebezpieczeƒstwa, uwzgl´dniajàc nast´pujàce elementy: 1. Jakie sà oceny poziomu zagro˝eƒ for- mu∏owane przez: • odpowiedzialne za bezpieczeƒstwo in- stytucje paƒstwowe; • media; • instytucje analityczne; • firmy ochrony; • firmy ubezpieczeniowe. 2. Czy chronione zasoby (ludzie, mienie, informacje, technologia) sà atrakcyjne dla Êrodowisk przest´pczych? 3. Czy zasoby te sà podatne na zniszcze- nie lub dewastacj´ w wyniku innych Najlepsza droga do sprawnego i efektywnego zarzàdzania bezpieczeƒstwem rozpoczyna si´ od identyfikacji zagro˝eƒ, zwanej cz´sto mapà zagro˝eƒ. Jacek Grzechowiak
12 www.cso.pl Grudzieƒ 2005 Temat z ok∏adki [Mapa zagro˝eƒ] czynników (np. katastrofy naturalne, techniczne)? 4. Jak sàsiedztwo wp∏ywa na nasze bez- pieczeƒstwo? Szczególnie czy w najbli˝- szym sàsiedztwie mia∏y miejsce incy- denty w bezpieczeƒstwie? 5. Jakie rekomendacje w zakresie po˝à- danego poziomu bezpieczeƒstwa po- siadamy od w∏aÊcicieli, udzia∏owców, zarzàdu? Ogólna znajomoÊç êróde∏ informacji o zagro˝eniach, bywa trudna do prze∏o˝enia na praktyk´. Wiele zale˝y od inwencji mene- d˝era bezpieczeƒstwa i jego zaanga˝owania. Równie˝ po stronie instytucji paƒstwowych czy towarzystw ubezpieczeniowych jest wie- le zrobienia. Na Êwiecie uzyskanie informacji, a na- wet rekomendacji odnoÊnie bezpieczeƒstwa nie stanowi takiego problemu. Przyk∏adem mo˝e byç realizowany przez brytyjskà poli- cj´ program wsparcia w zakresie prewencji pod nazwà „Secured by design” (www.se- curedbydesign.com), który wp∏ynà∏ na znaczne ograniczenie przest´pczoÊci. Rów- nie˝ towarzystwa ubezpieczeniowe oraz brokerzy coraz cz´Êciej udost´pniajà ró˝ne- go rodzaju analizy bezpieczeƒstwa, które w dobie terroryzmu doÊç cz´sto dotyczà te- go w∏aÊnie zagro˝enia. Analiza takich mate- ria∏ów, szczególnie w sytuacji porównania danych z kilku lat, pozwala na wskazanie trendów, wa˝nego elementu analizy bezpie- czeƒstwa. Przyk∏adem takiego êród∏a mo˝e byç 2005 Global Terrorism Risk Map (www.aon.com). W naszym kraju przez wiele lat mieliÊmy do czynienia z murem tajnoÊci, skutecznie utrudniajàcym pozyskanie informacji nie- zb´dnych do stworzenia bezpiecznego Êro- dowiska funkcjonowania organizacji. W ta- kiej sytuacji najwi´cej zale˝a∏o od doÊwiad- czenia i intuicji mened˝era bezpieczeƒstwa. Sà jednak pierwsze oznaki zmian w tym za- kresie. Jednym z dobrych przyk∏adów jest Warszawska Mapa Bezpieczeƒstwa (warsza- wa.naszemiasto.pl/warszawska_mapa_bez- pieczenstwa), przedstawiajàca analiz´ stanu bezpieczeƒstwa poszczególnych dzielnic Warszawy, okreÊlajàc przy tym „nat´˝enie” czynów przest´pczych. Tego typu materia∏ powinien byç dla mened˝era bezpieczeƒ- stwa przedmiotem wnikliwej analizy. Wykorzystanie wielu êróde∏ informacji jest niezb´dne do zbudowania lepszych – bardziej wiarygodnych, obarczonych mniejszym ryzykiem b∏´du systemów bez- pieczeƒstwa. ZnajomoÊç danych z takich êróde∏ jest tak˝e powa˝nym wzmocnie- niem argumentów mened˝era bezpieczeƒ- stwa w kontaktach z kadrà zarzàdzajàcà. Pozwala mened˝erowi bezpieczeƒstwa na operowanie obiektywnymi argumentami, które trudno obaliç niedowiarkom. JakoÊç pierwszego elementu ma zawsze decydujàcy wp∏yw na kolejne etapy cyklu za- rzàdzania bezpieczeƒstwem. W∏aÊciwe, pe∏- ne i rzetelne zidentyfikowanie chronionych zasobów, ich podatnoÊci na zagro˝enia oraz wp∏ywu na bezpieczeƒstwo ca∏ej organizacji determinuje jakoÊç i wartoÊç mapy zagro˝eƒ, a wi´c jest tym elementem, który decyduje o jakoÊci ca∏ego systemu bezpieczeƒstwa. Na tym etapie tworzenia mapy konieczne jest Êcis∏e wspó∏dzia∏anie mened˝era ds. bezpie- czeƒstwa z pozosta∏ymi osobami zarzàdzajà- cymi organizacjà. WartoÊciowe jest korzysta- nie ze êróde∏ zewn´trznych, pozwalajàcych w sposób niezale˝ny oceniç wartoÊç i wra˝li- woÊç poszczególnych procesów, informacji czy mienia na zniszczenie lub utrat´ z innej przyczyny. Zrealizowanie tego procesu, zw∏aszcza w du˝ych organizacjach, nie jest proste1 i dlatego zaleca si´ metodyczne po- dejÊcie do okreÊlenia kategorii chronionych zasobów. Celowe jest wi´c podczas tworzenia mapy zagro˝eƒ podzielenie chronionych za- sobów na kategorie, którym z kolei zostanà przyporzàdkowane odpowiednie – zale˝ne od potrzeb organizacji – priorytety: • ludzie (personel sta∏y i kontraktowy, • klienci, goÊcie, podwykonawcy), • mienie (komponenty, wyroby gotowe), • maszyny i urzàdzenia, sprz´t infor- matyczny, pojazdy); • informacje (zarówno w systemach IT, jak i przetwarzane w inny spo- sób, np. archiwa papierowe danych osobowych itd.); • procesy (dostawa, produkcja, maga- zynowanie, inne procedury krytycz- ne dla organizacji). Najwy˝szy priorytet dotyczy ochrony lu- dzi, poniewa˝ to w∏aÊnie oni tworzàc orga- nizacj´, sà dla niej najwa˝niejsi. Jednocze- Ênie straty organizacji w przypadku nara˝e- nia ˝ycia bàdê zdrowia ludzi sà najbardziej dotkliwe. Dlatego t´ kategori´ chronionych zasobów nale˝y potraktowaç szczególnie wnikliwie. Priorytety dla pozosta∏ych kategorii na- le˝y nadaç w porozumieniu z kadrà zarzà- dzajàcà, jako osobami w∏aÊciwymi do oceny wartoÊci chronionych zasobów. Nadajàc priorytet, najcz´Êciej przyjmuje si´ jako za- sad´ nadrz´dnà wypadkowà wartoÊci (ma- terialnej i niematerialnej) mienia, procesu lub informacji dla bezpieczeƒstwa, intere- sów, stabilnoÊci i pozycji rynkowej organi- zacji oraz jego podatnoÊci na utrat´ lub zniszczenie. DoÊç cz´stym b∏´dem pope∏nianym we wst´pnym etapie tworzenia mapy zagro˝eƒ, jest bagatelizowanie znaczenia mienia/pro- cesu bàdê informacji. W zdecydowanej wi´kszoÊci przypadków wynika to z niewy- starczajàcej znajomoÊci zasad bezpieczeƒ- stwa ze strony kadry non-security, jak rów- nie˝ z niedostatecznej znajomoÊci wartoÊci chronionych zasobów dla organizacji ze strony mened˝erów ds. bezpieczeƒstwa. Stàd konieczne jest odpowiednie przygoto- wanie kadry non-security do udzia∏u w pro- cesie tworzenia mapy zagro˝eƒ. W∏aÊciwe Rysunek 1. Cykl zarzàdzania bezpieczeƒstwem
Grudzieƒ 2005 www.cso.pl 13 okreÊlenie i nadanie priorytetu kategoriom chronionych zasobów jest bowiem mo˝liwe wy∏àcznie przy pe∏nym zaanga˝owaniu ka- dry zarzàdzajàcej organizacjà i poszczegól- nymi jej dzia∏ami oraz w∏aÊciwym zrozumie- niu szeroko poj´tej problematyki bezpie- czeƒstwa przez te osoby. Jednym z wa˝niejszych elementów cy- klu zarzàdzania bezpieczeƒstwem jest okre- Êlenie adekwatnoÊci przyj´tych rozwiàzaƒ do zagro˝eƒ. Analiza taka ma bezpoÊredni wp∏yw na map´ zagro˝eƒ, bowiem jednym z zagro˝eƒ o charakterze krytycznym jest niew∏aÊciwy poziom zastosowanych rozwià- zaƒ. Do tego aspektu nale˝y zaliczyç mi´dzy innymi nast´pujàce czynniki: • widoczny – prowokujàcy brak syste- mów bezpieczeƒstwa; • niska sprawnoÊç techniczna urzà- dzeƒ, wysoka awaryjnoÊç, degrada- cja generacyjna; • brak procedur bezpieczeƒstwa bàdê ich lekcewa˝enie przez pracowników; • zbyt ma∏y lub niekompetentny sk∏ad dzia∏u bezpieczeƒstwa. Wymienione powy˝ej zagro˝enia mogà byç dostrze˝one dopiero w trakcie kolejnego tworzenia mapy zagro˝eƒ. Ich jednoznacz- nie krytyczny, a nawet destrukcyjny wp∏yw na bezpieczeƒstwo chronionych zasobów nie ulega wàtpliwoÊci. Z tego wzgl´du tak bardzo istotne jest cykliczne aktualizowanie mapy. SAMO ˚YCIE... Stworzenie i wprowadzenie w ˝ycie cyklu zarzàdzania bezpieczeƒstwem jest jedynie poczàtkiem drogi. Mapa zagro˝eƒ nie jest bowiem aktualna bezwarunkowo i bezter- minowo. Wymaga ona sta∏ego aktualizo- wania, co jest zwiàzane najcz´Êciej ze zmia- nà sytuacji, w której funkcjonuje organiza- cja (stan bezpieczeƒstwa w dalszym i bli˝- szym otoczeniu, sytuacja polityczna i eko- nomiczna, ogólny stan bezpieczeƒstwa we- wnàtrz organizacji), a tak˝e z ewolucjà sa- mej organizacji. Dlatego tak wa˝nym ele- mentem jest w∏àczenie w proces tworzenia i bie˝àcej aktualizacji mapy ca∏ej kadry za- rzàdzajàcej organizacjà. Najcz´Êciej jednak tworzenie mapy zagro˝eƒ jest pozostawia- ne mened˝erowi ds. bezpieczeƒstwa, zaan- ga˝owanie zaÊ pozosta∏ych pracowników jest znikome. Stàd istotne zubo˝enie da- nych bazowych, niezb´dnych do stworze- nia mapy zagro˝eƒ, co wp∏ywa jednoznacz- nie negatywnie na jakoÊç mapy i poziom bezpieczeƒstwa organizacji. Niewàtpliwie g∏ównà rol´ w procesie tworzenia mapy zagro˝eƒ odgrywa mene- d˝er ds. bezpieczeƒstwa. JakoÊç mapy zagro- ˝eƒ jest wypadkowà jego postawy, wiedzy, doÊwiadczenia, zaanga˝owania i relacji z po- zosta∏à kadrà organizacji. Mened˝er ds. bez- pieczeƒstwa powinien przede wszystkim kreowaç w∏aÊciwe podejÊcie do spraw bez- pieczeƒstwa, to w jego gestii jest wnikliwa ocena: • danych uzyskanych z instytucji zajmujàcych si´ profesjonalnie bezpieczeƒstwem; • sytuacji operacyjnej wokó∏ obiektu (obiektów), w którym (których) znajdujà si´ chronione zasoby; • chronionych zasobów, pod kàtem prawdopodobieƒstwa wystàpienia incydentów zagra˝ajàcym ich bezpieczeƒstwu; • bie˝àcych zmian w konfiguracji obiektów, w których zlokalizowane sà chronione zasoby i ich wp∏ywu na stan bezpieczeƒstwa; • zagro˝eƒ wewn´trznych. Ka˝da zmiana w stanie bezpieczeƒstwa powinna znaleêç odzwierciedlenie w mapie zagro˝eƒ. Dzi´ki temu istnieje szansa, ˝e stan bezpieczeƒstwa obiektu b´dzie utrzy- mywany na jednakowym poziomie. T worzenie systemu zarzàdzania bez- pieczeƒstwem jest procesem wielo- etapowym, skomplikowanym, a jed- noczeÊnie majàcym istotny wp∏yw na póê- niejszy stan bezpieczeƒstwa organizacji. Jak ka˝dy proces, tworzenie systemu zarzàdza- nia bezpieczeƒstwem musi mieç stabilne podstawy, pozwalajàce jasno i precyzyjnie okreÊliç, co, gdzie i jak nale˝y chroniç. Takim fundamentem jest w∏aÊnie mapa zagro˝eƒ, która przedstawia wp∏yw czynników ze- wn´trznych oraz wewnàtrzorganizacyjnych na stan bezpieczeƒstwa. Wiedza o zagro˝e- niach jest niezmiernie wa˝na, pozwala zro- zumieç zachodzàce wokó∏ chronionych obiektów procesy, ujawniç ich wp∏yw na stan bezpieczeƒstwa, okreÊliç rodzaj Êrod- ków, jakie nale˝y zastosowaç w celu zmini- malizowania zagro˝eƒ, a tak˝e – poprzez cy- klicznà aktualizacj´ mapy zagro˝eƒ – okre- Êliç trend w zakresie bezpieczeƒstwa. Zrozumienie potrzeby opracowania i ak- tualizacji mapy zagro˝eƒ dla mened˝erów ds. bezpieczeƒstwa oraz przedstawicieli kadry za- rzàdzajàcej du˝ych organizacji nie jest ju˝ ni- czym nowym. Gorzej przedstawia si´ sytuacja w organizacjach nieposiadajàcych profesjo- nalnych kadr bezpieczeƒstwa, w których wi- doczne jest oczekiwanie na incydent w bez- pieczeƒstwie. Ta praktyka bywa bardzo kosz- towna (dos∏ownie i w przenoÊni) – wiedzà o tym z regu∏y ci, którzy mapy zagro˝eƒ wy- konujà od dawna i dbajà o ich aktualizacj´. Dobrze wykonana mapa zagro˝eƒ daje podstawy do stworzenia sprawnego, efek- tywnego i ekonomicznego systemu bezpie- czeƒstwa. Jest pierwszym elementem tego systemu, pozwalajàc na faktyczne okreÊle- nie potrzeb w zakresie bezpieczeƒstwa. Two- rzàc map´ zagro˝eƒ, organizacja mo˝e do- strzec faktyczne zagro˝enia i odpowiednio ukierunkowaç swoje dzia∏ania. Co wa˝ne, stworzenie mapy zagro˝eƒ jest dzia∏aniem typowo organizacyjnym, czyli niemal niege- nerujàcym kosztów. s Autor jest absolwentem Podyplomowych Studiów Bezpieczeƒstwa Europejskiego. 1 Z doÊwiadczeƒ autora wynika, ˝e tworzenie mapy zagro˝eƒ w organizacjach funkcjonujàcych w struktu- rze rozproszonej jest powa˝nie utrudnione, gdy zna- jomoÊç samej struktury organizacyjnej nie jest pe∏na. Sytuacja ta nie nale˝y wcale do rzadkoÊci, wr´cz przeciwnie, du˝e organizacje, szczególnie oparte na strukturze macierzowej, nie zawsze posiadajà pe∏ny i wyczerpujàcy opis wzajemnych powiàzaƒ, co w przypadku definiowania zagro˝eƒ dla procesów biznesowych jest szczególnie niekorzystne.

Recomendados

Kidsxap-brochure_optimized
Kidsxap-brochure_optimizedKidsxap-brochure_optimized
Kidsxap-brochure_optimizedRuchir Parekh
 
A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...
A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...
A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...Rafael Casiano
 
Plume de paon
Plume de paonPlume de paon
Plume de paonOrville Vincent
 
RETAIL
RETAILRETAIL
RETAILSriSeshaa Technologies Pvt Ltd
 
El Comercio
El ComercioEl Comercio
El Comerciomaria Magdalena De la Rosa Evangelista
 
Muradsmoviehouse 170209225836
Muradsmoviehouse 170209225836Muradsmoviehouse 170209225836
Muradsmoviehouse 170209225836Aztexain
 
Integracion de las tic a la gestion de centros.
Integracion de las tic a la gestion de centros.Integracion de las tic a la gestion de centros.
Integracion de las tic a la gestion de centros.Kennia Maria Quezada Feliz
 
Importancia de la tecnología en nuestros tiempos
Importancia de la tecnología en nuestros tiemposImportancia de la tecnología en nuestros tiempos
Importancia de la tecnología en nuestros tiemposLINOERICK
 

Recomendados

Kidsxap-brochure_optimized
Kidsxap-brochure_optimizedKidsxap-brochure_optimized
Kidsxap-brochure_optimizedRuchir Parekh
 
A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...
A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...
A novel platform for in situ, multiomic, hyper-plexed analyses of systems bio...Rafael Casiano
 
Plume de paon
Plume de paonPlume de paon
Plume de paonOrville Vincent
 
RETAIL
RETAILRETAIL
RETAILSriSeshaa Technologies Pvt Ltd
 
El Comercio
El ComercioEl Comercio
El Comerciomaria Magdalena De la Rosa Evangelista
 
Muradsmoviehouse 170209225836
Muradsmoviehouse 170209225836Muradsmoviehouse 170209225836
Muradsmoviehouse 170209225836Aztexain
 
Integracion de las tic a la gestion de centros.
Integracion de las tic a la gestion de centros.Integracion de las tic a la gestion de centros.
Integracion de las tic a la gestion de centros.Kennia Maria Quezada Feliz
 
Importancia de la tecnología en nuestros tiempos
Importancia de la tecnología en nuestros tiemposImportancia de la tecnología en nuestros tiempos
Importancia de la tecnología en nuestros tiemposLINOERICK
 
Spelling words lesson 12
Spelling words lesson 12Spelling words lesson 12
Spelling words lesson 12Yeiny Peña Camacho
 
Calendário Escolar 2017
Calendário Escolar 2017Calendário Escolar 2017
Calendário Escolar 2017SINTE Regional
 
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...Sistema de Bibliotecas de la PUCP
 
JUEGOS DE MENTE 3
JUEGOS DE MENTE 3JUEGOS DE MENTE 3
JUEGOS DE MENTE 3Enedina Briceño Astuvilca
 
La lengua de las mariposas.
La lengua de las mariposas.La lengua de las mariposas.
La lengua de las mariposas.itsmariatg
 
Trabajo Pringles
Trabajo PringlesTrabajo Pringles
Trabajo Pringlestugatitaloca
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...Dariusz Tworzydło
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
2.7
2.72.7
2.7Szymon Konkol - Publikacje Cyfrowe
 
Charakterystyka informatycznych systemów komputerowych
Charakterystyka informatycznych systemów komputerowychCharakterystyka informatycznych systemów komputerowych
Charakterystyka informatycznych systemów komputerowychSzymon Konkol - Publikacje Cyfrowe
 
Wybrane kwestie związane z tzw. białym wywiadem
Wybrane kwestie związane z tzw. białym wywiademWybrane kwestie związane z tzw. białym wywiadem
Wybrane kwestie związane z tzw. białym wywiademWojciech Filipkowski
 
Zarzadzanie wiedza dla zarządzania kryzysowego
Zarzadzanie wiedza dla zarządzania kryzysowegoZarzadzanie wiedza dla zarządzania kryzysowego
Zarzadzanie wiedza dla zarządzania kryzysowegoCognitum
 
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki TigerSkuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki TigerDariusz Tworzydło
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
Podatność kryzysowa wiodących branż polskiej gospodarki
Podatność kryzysowa wiodących branż polskiej gospodarkiPodatność kryzysowa wiodących branż polskiej gospodarki
Podatność kryzysowa wiodących branż polskiej gospodarkiDariusz Tworzydło
 
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...Dariusz Tworzydło
 

Mais conteúdo relacionado

Destaque

Calendário Escolar 2017
Calendário Escolar 2017Calendário Escolar 2017
Calendário Escolar 2017SINTE Regional
 
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...Sistema de Bibliotecas de la PUCP
 
La lengua de las mariposas.
La lengua de las mariposas.La lengua de las mariposas.
La lengua de las mariposas.itsmariatg
 

Destaque (6)

Spelling words lesson 12
Spelling words lesson 12Spelling words lesson 12
Spelling words lesson 12
 
Calendário Escolar 2017
Calendário Escolar 2017Calendário Escolar 2017
Calendário Escolar 2017
 
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
Sección 7: Conoce tu biblioteca - Clase 23: ¿Cómo pedir un libro? ¿dónde estu...
 
JUEGOS DE MENTE 3
JUEGOS DE MENTE 3JUEGOS DE MENTE 3
JUEGOS DE MENTE 3
 
La lengua de las mariposas.
La lengua de las mariposas.La lengua de las mariposas.
La lengua de las mariposas.
 
Trabajo Pringles
Trabajo PringlesTrabajo Pringles
Trabajo Pringles
 

Semelhante a cso_mapa

PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...Dariusz Tworzydło
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Wybrane kwestie związane z tzw. białym wywiadem
Wybrane kwestie związane z tzw. białym wywiademWybrane kwestie związane z tzw. białym wywiadem
Wybrane kwestie związane z tzw. białym wywiademWojciech Filipkowski
 
Zarzadzanie wiedza dla zarządzania kryzysowego
Zarzadzanie wiedza dla zarządzania kryzysowegoZarzadzanie wiedza dla zarządzania kryzysowego
Zarzadzanie wiedza dla zarządzania kryzysowegoCognitum
 
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki TigerSkuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki TigerDariusz Tworzydło
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
Podatność kryzysowa wiodących branż polskiej gospodarki
Podatność kryzysowa wiodących branż polskiej gospodarkiPodatność kryzysowa wiodących branż polskiej gospodarki
Podatność kryzysowa wiodących branż polskiej gospodarkiDariusz Tworzydło
 
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...Dariusz Tworzydło
 
Raport zfodo naruszenia-16.02.20
Raport zfodo naruszenia-16.02.20Raport zfodo naruszenia-16.02.20
Raport zfodo naruszenia-16.02.20MichaSztberek
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
PLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław MajPLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław MajPROIDEA
 

Semelhante a cso_mapa (20)

PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
ROLA PROFILAKTYKI ANTYKRYZYSOWEJ Z PERSPEKTYWY NAJWIĘKSZYCH POLSKICH PRZEDSIĘ...
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa Informacji
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
2.7
2.72.7
2.7
 
Charakterystyka informatycznych systemów komputerowych
Charakterystyka informatycznych systemów komputerowychCharakterystyka informatycznych systemów komputerowych
Charakterystyka informatycznych systemów komputerowych
 
Wybrane kwestie związane z tzw. białym wywiadem
Wybrane kwestie związane z tzw. białym wywiademWybrane kwestie związane z tzw. białym wywiadem
Wybrane kwestie związane z tzw. białym wywiadem
 
Zarzadzanie wiedza dla zarządzania kryzysowego
Zarzadzanie wiedza dla zarządzania kryzysowegoZarzadzanie wiedza dla zarządzania kryzysowego
Zarzadzanie wiedza dla zarządzania kryzysowego
 
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki TigerSkuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
Skuteczne zarządzanie w kryzysie wizerunkowym na przykładzie marki Tiger
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowych
 
Podatność kryzysowa wiodących branż polskiej gospodarki
Podatność kryzysowa wiodących branż polskiej gospodarkiPodatność kryzysowa wiodących branż polskiej gospodarki
Podatność kryzysowa wiodących branż polskiej gospodarki
 
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
Procedura zarządzania w kryzysie wizerunkowym w mediach – przeciwdziałanie, r...
 
Raport zfodo naruszenia-16.02.20
Raport zfodo naruszenia-16.02.20Raport zfodo naruszenia-16.02.20
Raport zfodo naruszenia-16.02.20
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”
 
PLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław MajPLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław Maj
 

cso_mapa

  • 1. FOTO:10 www.cso.pl Grudzieƒ 2005 ZARZÑDZANIE BEZPIECZE¡STWEM: MAPAZAGRO˚E¡
  • 2. Grudzieƒ 2005 www.cso.pl 11 Analiza taka pomo˝e ka˝demu me- ned˝erowi ds. bezpieczeƒstwa (niezale˝nie od jego doÊwiadczenia) okreÊliç: • Jakie zasoby organizacja posiada? • Gdzie sà one rozmieszczone? • Jaki wp∏yw majà na funkcjonowanie organizacji? • Czy i jakie wyst´pujà dla nich zagro˝enia? • Jakie jest prawdopodobieƒstwo utraty bàdê zniszczenia tych zasobów? • Które zasoby powinny byç chronio- ne, a które tego nie wymagajà? • Jakie dzia∏ania w zakresie bezpie- czeƒstwa sà konieczne w celu zabez- pieczenia chronionych zasobów? Wymienione aspekty bezpieczeƒstwa sà kwestiami fundamentalnymi, bez ich anali- zy nie sposób stworzyç efektywnego syste- mu bezpieczeƒstwa. W wielu organizacjach etap ten nie jest ju˝ traktowany jako coÊ innowacyjnego, sta∏ si´ natomiast elementem dobrej praktyki biznesowej. Coraz wi´cej organizacji rozu- mie, ˝e bezpieczeƒstwo nie jest produktem sprzedawanym klientowi, jest natomiast elementem budowania zaufania klienta do firmy jako bezpiecznego, a tym samym sta- bilnego i wiarygodnego partnera. Takie po- dejÊcie umo˝liwia stworzenie dobrej, precy- zyjnej, a przede wszystkim wiarygodnej ma- py zagro˝eƒ. SPRÓBUJMY ZDEFINIOWAå... Poj´cie mapy zagro˝eƒ jest doÊç nowe i jesz- cze niewystarczajàco powszechne wÊród or- ganizacji biznesowych. Stàd wiele ró˝nych definicji. Niezale˝nie jednak od autora defi- nicji i jego podejÊcia do tego tematu, jest ona pierwszym – bazowym dokumentem, okre- Êlajàcym warunki brzegowe do dalszych dzia∏aƒ w zakresie bezpieczeƒstwa. Mapa zagro˝eƒ – rozumiana jest najcz´- Êciej jako wykaz zagro˝eƒ zewn´trznych i wewn´trznych o ró˝nym charakterze (kry- minalne, technologiczne, naturalne itd.), oddzia∏ujàcych na zasoby organizacji, szcze- gólnie zaÊ na jej mienie, procesy i informa- cje o ˝ywotnym znaczeniu dla bezpieczeƒ- stwa i funkcjonowania organizacji. Istot- nym aspektem w kontekÊcie tworzenia ma- py zagro˝eƒ jest koniecznoÊç kompleksowe- go spojrzenia na chronione zasoby i okreÊla- nia zagro˝eƒ przez pryzmat profilu organi- zacji, jej usytuowania, podatnoÊci na wp∏yw czynników negatywnych o ró˝nym pocho- dzeniu. Niezale˝nie od okreÊlenia niebez- pieczeƒstw, mapa zagro˝eƒ musi identyfi- kowaç tak˝e krytyczne procesy i przewidy- waç mo˝liwe straty w wyniku ich wystàpie- nia w organizacji. W ten sposób podejmowany jest pierw- szy – bardzo wa˝ny – wysi∏ek w celu za- pewnienia organizacji mo˝liwie najpe∏niej- szego bezpieczeƒstwa (niejednokrotnie jest to w ogóle pierwsze zetkni´cie kadry zarzàdzajàcej organizacjà z problematykà bezpieczeƒstwa). Wa˝nà konsekwencjà okreÊlenia mapy zagro˝eƒ, oprócz wyznaczenia kierunków dzia∏ania w zakresie bezpieczeƒstwa, jest stworzenie dogodnych warunków do zwi´kszenia zaanga˝owania kadry non-se- curity w procesy zarzàdzania bezpieczeƒ- stwem poprzez podniesienie poziomu jej ÊwiadomoÊci, szczególnie zaÊ ujawnienie problemów, jakie niesie z sobà funkcjono- wanie organizacji. Takie podejÊcie – jeÊli jest prezentowane przez ca∏à kadr´ zarzà- dzajàcà organizacjà – pozwala na prostsze stworzenie systemu bezpieczeƒstwa i uzy- skanie du˝o wi´kszej efektywnoÊci opera- cyjnej i ekonomicznej. OD TEORII DO PRAKTYKI... OkreÊlenie ryzyka – sporzàdzenie mapy za- gro˝eƒ – jest pierwszym elementem cyklu zarzàdzania bezpieczeƒstwem. Przyj´cie powy˝szego sposobu prowa- dzenia polityki bezpieczeƒstwa wymaga konsekwencji w dzia∏aniu, dajàc jednak wy- mierne efekty ju˝ wkrótce po wprowadzeniu go w ˝ycie. Istotnym elementem tej cz´Êci cyklu zarzàdzania bezpieczeƒstwem jest du- ˝a liczba niewiadomych, szczególnie w za- kresie oceny podatnoÊci organizacji i po- szczególnych jej komponentów na zagro˝e- nia. Jest to swego rodzaju odkrywanie bia- ∏ych plam w bezpieczeƒstwie organizacji. Proces ten jest trudny i jednoczeÊnie bardzo wra˝liwy, poniewa˝ od jego wyników zale˝à dalsze decyzje biznesowe i efekt koƒcowy, czyli jakoÊç systemu bezpieczeƒstwa. Dlatego zaczàç nale˝y od zebrania da- nych charakteryzujàcych podatnoÊç organi- zacji na niebezpieczeƒstwa, uwzgl´dniajàc nast´pujàce elementy: 1. Jakie sà oceny poziomu zagro˝eƒ for- mu∏owane przez: • odpowiedzialne za bezpieczeƒstwo in- stytucje paƒstwowe; • media; • instytucje analityczne; • firmy ochrony; • firmy ubezpieczeniowe. 2. Czy chronione zasoby (ludzie, mienie, informacje, technologia) sà atrakcyjne dla Êrodowisk przest´pczych? 3. Czy zasoby te sà podatne na zniszcze- nie lub dewastacj´ w wyniku innych Najlepsza droga do sprawnego i efektywnego zarzàdzania bezpieczeƒstwem rozpoczyna si´ od identyfikacji zagro˝eƒ, zwanej cz´sto mapà zagro˝eƒ. Jacek Grzechowiak
  • 3. 12 www.cso.pl Grudzieƒ 2005 Temat z ok∏adki [Mapa zagro˝eƒ] czynników (np. katastrofy naturalne, techniczne)? 4. Jak sàsiedztwo wp∏ywa na nasze bez- pieczeƒstwo? Szczególnie czy w najbli˝- szym sàsiedztwie mia∏y miejsce incy- denty w bezpieczeƒstwie? 5. Jakie rekomendacje w zakresie po˝à- danego poziomu bezpieczeƒstwa po- siadamy od w∏aÊcicieli, udzia∏owców, zarzàdu? Ogólna znajomoÊç êróde∏ informacji o zagro˝eniach, bywa trudna do prze∏o˝enia na praktyk´. Wiele zale˝y od inwencji mene- d˝era bezpieczeƒstwa i jego zaanga˝owania. Równie˝ po stronie instytucji paƒstwowych czy towarzystw ubezpieczeniowych jest wie- le zrobienia. Na Êwiecie uzyskanie informacji, a na- wet rekomendacji odnoÊnie bezpieczeƒstwa nie stanowi takiego problemu. Przyk∏adem mo˝e byç realizowany przez brytyjskà poli- cj´ program wsparcia w zakresie prewencji pod nazwà „Secured by design” (www.se- curedbydesign.com), który wp∏ynà∏ na znaczne ograniczenie przest´pczoÊci. Rów- nie˝ towarzystwa ubezpieczeniowe oraz brokerzy coraz cz´Êciej udost´pniajà ró˝ne- go rodzaju analizy bezpieczeƒstwa, które w dobie terroryzmu doÊç cz´sto dotyczà te- go w∏aÊnie zagro˝enia. Analiza takich mate- ria∏ów, szczególnie w sytuacji porównania danych z kilku lat, pozwala na wskazanie trendów, wa˝nego elementu analizy bezpie- czeƒstwa. Przyk∏adem takiego êród∏a mo˝e byç 2005 Global Terrorism Risk Map (www.aon.com). W naszym kraju przez wiele lat mieliÊmy do czynienia z murem tajnoÊci, skutecznie utrudniajàcym pozyskanie informacji nie- zb´dnych do stworzenia bezpiecznego Êro- dowiska funkcjonowania organizacji. W ta- kiej sytuacji najwi´cej zale˝a∏o od doÊwiad- czenia i intuicji mened˝era bezpieczeƒstwa. Sà jednak pierwsze oznaki zmian w tym za- kresie. Jednym z dobrych przyk∏adów jest Warszawska Mapa Bezpieczeƒstwa (warsza- wa.naszemiasto.pl/warszawska_mapa_bez- pieczenstwa), przedstawiajàca analiz´ stanu bezpieczeƒstwa poszczególnych dzielnic Warszawy, okreÊlajàc przy tym „nat´˝enie” czynów przest´pczych. Tego typu materia∏ powinien byç dla mened˝era bezpieczeƒ- stwa przedmiotem wnikliwej analizy. Wykorzystanie wielu êróde∏ informacji jest niezb´dne do zbudowania lepszych – bardziej wiarygodnych, obarczonych mniejszym ryzykiem b∏´du systemów bez- pieczeƒstwa. ZnajomoÊç danych z takich êróde∏ jest tak˝e powa˝nym wzmocnie- niem argumentów mened˝era bezpieczeƒ- stwa w kontaktach z kadrà zarzàdzajàcà. Pozwala mened˝erowi bezpieczeƒstwa na operowanie obiektywnymi argumentami, które trudno obaliç niedowiarkom. JakoÊç pierwszego elementu ma zawsze decydujàcy wp∏yw na kolejne etapy cyklu za- rzàdzania bezpieczeƒstwem. W∏aÊciwe, pe∏- ne i rzetelne zidentyfikowanie chronionych zasobów, ich podatnoÊci na zagro˝enia oraz wp∏ywu na bezpieczeƒstwo ca∏ej organizacji determinuje jakoÊç i wartoÊç mapy zagro˝eƒ, a wi´c jest tym elementem, który decyduje o jakoÊci ca∏ego systemu bezpieczeƒstwa. Na tym etapie tworzenia mapy konieczne jest Êcis∏e wspó∏dzia∏anie mened˝era ds. bezpie- czeƒstwa z pozosta∏ymi osobami zarzàdzajà- cymi organizacjà. WartoÊciowe jest korzysta- nie ze êróde∏ zewn´trznych, pozwalajàcych w sposób niezale˝ny oceniç wartoÊç i wra˝li- woÊç poszczególnych procesów, informacji czy mienia na zniszczenie lub utrat´ z innej przyczyny. Zrealizowanie tego procesu, zw∏aszcza w du˝ych organizacjach, nie jest proste1 i dlatego zaleca si´ metodyczne po- dejÊcie do okreÊlenia kategorii chronionych zasobów. Celowe jest wi´c podczas tworzenia mapy zagro˝eƒ podzielenie chronionych za- sobów na kategorie, którym z kolei zostanà przyporzàdkowane odpowiednie – zale˝ne od potrzeb organizacji – priorytety: • ludzie (personel sta∏y i kontraktowy, • klienci, goÊcie, podwykonawcy), • mienie (komponenty, wyroby gotowe), • maszyny i urzàdzenia, sprz´t infor- matyczny, pojazdy); • informacje (zarówno w systemach IT, jak i przetwarzane w inny spo- sób, np. archiwa papierowe danych osobowych itd.); • procesy (dostawa, produkcja, maga- zynowanie, inne procedury krytycz- ne dla organizacji). Najwy˝szy priorytet dotyczy ochrony lu- dzi, poniewa˝ to w∏aÊnie oni tworzàc orga- nizacj´, sà dla niej najwa˝niejsi. Jednocze- Ênie straty organizacji w przypadku nara˝e- nia ˝ycia bàdê zdrowia ludzi sà najbardziej dotkliwe. Dlatego t´ kategori´ chronionych zasobów nale˝y potraktowaç szczególnie wnikliwie. Priorytety dla pozosta∏ych kategorii na- le˝y nadaç w porozumieniu z kadrà zarzà- dzajàcà, jako osobami w∏aÊciwymi do oceny wartoÊci chronionych zasobów. Nadajàc priorytet, najcz´Êciej przyjmuje si´ jako za- sad´ nadrz´dnà wypadkowà wartoÊci (ma- terialnej i niematerialnej) mienia, procesu lub informacji dla bezpieczeƒstwa, intere- sów, stabilnoÊci i pozycji rynkowej organi- zacji oraz jego podatnoÊci na utrat´ lub zniszczenie. DoÊç cz´stym b∏´dem pope∏nianym we wst´pnym etapie tworzenia mapy zagro˝eƒ, jest bagatelizowanie znaczenia mienia/pro- cesu bàdê informacji. W zdecydowanej wi´kszoÊci przypadków wynika to z niewy- starczajàcej znajomoÊci zasad bezpieczeƒ- stwa ze strony kadry non-security, jak rów- nie˝ z niedostatecznej znajomoÊci wartoÊci chronionych zasobów dla organizacji ze strony mened˝erów ds. bezpieczeƒstwa. Stàd konieczne jest odpowiednie przygoto- wanie kadry non-security do udzia∏u w pro- cesie tworzenia mapy zagro˝eƒ. W∏aÊciwe Rysunek 1. Cykl zarzàdzania bezpieczeƒstwem
  • 4. Grudzieƒ 2005 www.cso.pl 13 okreÊlenie i nadanie priorytetu kategoriom chronionych zasobów jest bowiem mo˝liwe wy∏àcznie przy pe∏nym zaanga˝owaniu ka- dry zarzàdzajàcej organizacjà i poszczegól- nymi jej dzia∏ami oraz w∏aÊciwym zrozumie- niu szeroko poj´tej problematyki bezpie- czeƒstwa przez te osoby. Jednym z wa˝niejszych elementów cy- klu zarzàdzania bezpieczeƒstwem jest okre- Êlenie adekwatnoÊci przyj´tych rozwiàzaƒ do zagro˝eƒ. Analiza taka ma bezpoÊredni wp∏yw na map´ zagro˝eƒ, bowiem jednym z zagro˝eƒ o charakterze krytycznym jest niew∏aÊciwy poziom zastosowanych rozwià- zaƒ. Do tego aspektu nale˝y zaliczyç mi´dzy innymi nast´pujàce czynniki: • widoczny – prowokujàcy brak syste- mów bezpieczeƒstwa; • niska sprawnoÊç techniczna urzà- dzeƒ, wysoka awaryjnoÊç, degrada- cja generacyjna; • brak procedur bezpieczeƒstwa bàdê ich lekcewa˝enie przez pracowników; • zbyt ma∏y lub niekompetentny sk∏ad dzia∏u bezpieczeƒstwa. Wymienione powy˝ej zagro˝enia mogà byç dostrze˝one dopiero w trakcie kolejnego tworzenia mapy zagro˝eƒ. Ich jednoznacz- nie krytyczny, a nawet destrukcyjny wp∏yw na bezpieczeƒstwo chronionych zasobów nie ulega wàtpliwoÊci. Z tego wzgl´du tak bardzo istotne jest cykliczne aktualizowanie mapy. SAMO ˚YCIE... Stworzenie i wprowadzenie w ˝ycie cyklu zarzàdzania bezpieczeƒstwem jest jedynie poczàtkiem drogi. Mapa zagro˝eƒ nie jest bowiem aktualna bezwarunkowo i bezter- minowo. Wymaga ona sta∏ego aktualizo- wania, co jest zwiàzane najcz´Êciej ze zmia- nà sytuacji, w której funkcjonuje organiza- cja (stan bezpieczeƒstwa w dalszym i bli˝- szym otoczeniu, sytuacja polityczna i eko- nomiczna, ogólny stan bezpieczeƒstwa we- wnàtrz organizacji), a tak˝e z ewolucjà sa- mej organizacji. Dlatego tak wa˝nym ele- mentem jest w∏àczenie w proces tworzenia i bie˝àcej aktualizacji mapy ca∏ej kadry za- rzàdzajàcej organizacjà. Najcz´Êciej jednak tworzenie mapy zagro˝eƒ jest pozostawia- ne mened˝erowi ds. bezpieczeƒstwa, zaan- ga˝owanie zaÊ pozosta∏ych pracowników jest znikome. Stàd istotne zubo˝enie da- nych bazowych, niezb´dnych do stworze- nia mapy zagro˝eƒ, co wp∏ywa jednoznacz- nie negatywnie na jakoÊç mapy i poziom bezpieczeƒstwa organizacji. Niewàtpliwie g∏ównà rol´ w procesie tworzenia mapy zagro˝eƒ odgrywa mene- d˝er ds. bezpieczeƒstwa. JakoÊç mapy zagro- ˝eƒ jest wypadkowà jego postawy, wiedzy, doÊwiadczenia, zaanga˝owania i relacji z po- zosta∏à kadrà organizacji. Mened˝er ds. bez- pieczeƒstwa powinien przede wszystkim kreowaç w∏aÊciwe podejÊcie do spraw bez- pieczeƒstwa, to w jego gestii jest wnikliwa ocena: • danych uzyskanych z instytucji zajmujàcych si´ profesjonalnie bezpieczeƒstwem; • sytuacji operacyjnej wokó∏ obiektu (obiektów), w którym (których) znajdujà si´ chronione zasoby; • chronionych zasobów, pod kàtem prawdopodobieƒstwa wystàpienia incydentów zagra˝ajàcym ich bezpieczeƒstwu; • bie˝àcych zmian w konfiguracji obiektów, w których zlokalizowane sà chronione zasoby i ich wp∏ywu na stan bezpieczeƒstwa; • zagro˝eƒ wewn´trznych. Ka˝da zmiana w stanie bezpieczeƒstwa powinna znaleêç odzwierciedlenie w mapie zagro˝eƒ. Dzi´ki temu istnieje szansa, ˝e stan bezpieczeƒstwa obiektu b´dzie utrzy- mywany na jednakowym poziomie. T worzenie systemu zarzàdzania bez- pieczeƒstwem jest procesem wielo- etapowym, skomplikowanym, a jed- noczeÊnie majàcym istotny wp∏yw na póê- niejszy stan bezpieczeƒstwa organizacji. Jak ka˝dy proces, tworzenie systemu zarzàdza- nia bezpieczeƒstwem musi mieç stabilne podstawy, pozwalajàce jasno i precyzyjnie okreÊliç, co, gdzie i jak nale˝y chroniç. Takim fundamentem jest w∏aÊnie mapa zagro˝eƒ, która przedstawia wp∏yw czynników ze- wn´trznych oraz wewnàtrzorganizacyjnych na stan bezpieczeƒstwa. Wiedza o zagro˝e- niach jest niezmiernie wa˝na, pozwala zro- zumieç zachodzàce wokó∏ chronionych obiektów procesy, ujawniç ich wp∏yw na stan bezpieczeƒstwa, okreÊliç rodzaj Êrod- ków, jakie nale˝y zastosowaç w celu zmini- malizowania zagro˝eƒ, a tak˝e – poprzez cy- klicznà aktualizacj´ mapy zagro˝eƒ – okre- Êliç trend w zakresie bezpieczeƒstwa. Zrozumienie potrzeby opracowania i ak- tualizacji mapy zagro˝eƒ dla mened˝erów ds. bezpieczeƒstwa oraz przedstawicieli kadry za- rzàdzajàcej du˝ych organizacji nie jest ju˝ ni- czym nowym. Gorzej przedstawia si´ sytuacja w organizacjach nieposiadajàcych profesjo- nalnych kadr bezpieczeƒstwa, w których wi- doczne jest oczekiwanie na incydent w bez- pieczeƒstwie. Ta praktyka bywa bardzo kosz- towna (dos∏ownie i w przenoÊni) – wiedzà o tym z regu∏y ci, którzy mapy zagro˝eƒ wy- konujà od dawna i dbajà o ich aktualizacj´. Dobrze wykonana mapa zagro˝eƒ daje podstawy do stworzenia sprawnego, efek- tywnego i ekonomicznego systemu bezpie- czeƒstwa. Jest pierwszym elementem tego systemu, pozwalajàc na faktyczne okreÊle- nie potrzeb w zakresie bezpieczeƒstwa. Two- rzàc map´ zagro˝eƒ, organizacja mo˝e do- strzec faktyczne zagro˝enia i odpowiednio ukierunkowaç swoje dzia∏ania. Co wa˝ne, stworzenie mapy zagro˝eƒ jest dzia∏aniem typowo organizacyjnym, czyli niemal niege- nerujàcym kosztów. s Autor jest absolwentem Podyplomowych Studiów Bezpieczeƒstwa Europejskiego. 1 Z doÊwiadczeƒ autora wynika, ˝e tworzenie mapy zagro˝eƒ w organizacjach funkcjonujàcych w struktu- rze rozproszonej jest powa˝nie utrudnione, gdy zna- jomoÊç samej struktury organizacyjnej nie jest pe∏na. Sytuacja ta nie nale˝y wcale do rzadkoÊci, wr´cz przeciwnie, du˝e organizacje, szczególnie oparte na strukturze macierzowej, nie zawsze posiadajà pe∏ny i wyczerpujàcy opis wzajemnych powiàzaƒ, co w przypadku definiowania zagro˝eƒ dla procesów biznesowych jest szczególnie niekorzystne.