Mapa zagrożeń

Podstawy zarządzania bezpieczeństwem informacyjnym

MAPA ZAGROŻEŃ

Pojęcie mapy zagrożeń jest dość nowe i jeszcze niewystarczająco powszechne wśród organizacji biznesowych. Stąd wiele różnych definicji. Niezależnie jednak od autora definicji i jego podejścia do tego tematu, jest ona pierwszym - bazowym dokumentem, określającym warunki brzegowe do dalszych działań w zakresie bezpieczeństwa.

Mapa zagrożeń - rozumiana jest najczęściej jako wykaz zagrożeń zewnętrznych i wewnętrznych o różnym charakterze (kryminalne, technologiczne, naturalne itd.), oddziałujących na zasoby organizacji, szczególnie zaś na jej mienie, procesy i informacje o żywotnym znaczeniu dla bezpieczeństwa i funkcjonowania organizacji. Istotnym aspektem w kontekście tworzenia mapy zagrożeń jest konieczność kompleksowego spojrzenia na chronione zasoby i określania zagrożeń przez pryzmat profilu organizacji, jej usytuowania, podatności na wpływ czynników negatywnych o różnym pochodzeniu. Niezależnie od określenia niebezpieczeństw, mapa zagrożeń musi identyfikować także krytyczne procesy i przewidywać możliwe straty w wyniku ich wystąpienia w organizacji . W ten sposób podejmowany jest pierwszy - bardzo ważny - wysiłek w celu zapewnienia organizacji możliwie najpełniejszego bezpieczeństwa (niejednokrotnie jest to w ogóle pierwsze zetknięcie kadry zarządzającej organizacją z problematyką bezpieczeństwa).

Ważną konsekwencją określenia mapy zagrożeń, oprócz wyznaczenia kierunków działania w zakresie bezpieczeństwa, jest stworzenie dogodnych warunków do zwiększenia zaangażowania kadry non-security w procesy zarządzania bezpieczeństwem poprzez podniesienie poziomu jej świadomości, szczególnie zaś ujawnienie problemów, jakie niesie z sobą funkcjonowanie organizacji. Takie podejście - jeśli jest prezentowane przez całą kadrę zarządzającą organizacją - pozwala na prostsze stworzenie systemu bezpieczeństwa i uzyskanie dużo większej efektywności operacyjnej i ekonomicznej.

Analiza taka pomoże każdemu menedżerowi ds. bezpieczeństwa (niezależnie od jego doświadczenia) określić:
Jakie zasoby organizacja posiada ?
Gdzie są one rozmieszczone ?
Jaki wpływ mają na funkcjonowanie organizacji?
Czy i jakie występują dla nich zagrożenia?
Jakie jest prawdopodobieństwo utraty bądź zniszczenia tych zasobów ?
Które zasoby powinny być chronione, a które tego nie wymagają ?
Jakie działania w zakresie bezpieczeństwa są konieczne w celu zabezpieczenia chronionych zasobów ?
Wymienione aspekty bezpieczeństwa są kwestiami fundamentalnymi, bez ich analizy nie sposób stworzyć efektywnego systemu bezpieczeństwa.

Określenie ryzyka - sporządzenie mapy zagrożeń - jest pierwszym elementem cyklu zarządzania bezpieczeństwem.

Przyjęcie powyższego sposobu prowadzenia polityki bezpieczeństwa wymaga konsekwencji w działaniu, dając jednak wymierne efekty już wkrótce po wprowadzeniu go w życie. Istotnym elementem tej części cyklu zarządzania bezpieczeństwem jest duża liczba niewiadomych, szczególnie w zakresie oceny podatności organizacji i poszczególnych jej komponentów na zagrożenia. Jest to swego rodzaju odkrywanie białych plam w bezpieczeństwie organizacji. Proces ten jest trudny i jednocześnie bardzo wrażliwy, ponieważ od jego wyników zależą dalsze decyzje biznesowe i efekt końcowy, czyli jakość systemu bezpieczeństwa.

Dlatego zacząć należy od zebrania danych charakteryzujących podatność organizacji na niebezpieczeństwa, uwzględniając następujące elementy:

1. Jakie są oceny poziomu zagrożeń formułowane przez:
odpowiedzialne za bezpieczeństwo instytucje państwowe;
media;
instytucje analityczne;
firmy ochrony;
firmy ubezpieczeniowe.
2. Czy chronione zasoby (ludzie, mienie, informacje, technologia) są atrakcyjne dla środowisk przestępczych?

3. Czy zasoby te są podatne na zniszczenie lub dewastację w wyniku innych czynników (np. katastrofy naturalne, techniczne)?

4. Jak sąsiedztwo wpływa na nasze bezpieczeństwo? Szczególnie czy w najbliższym sąsiedztwie miały miejsce incydenty w bezpieczeństwie?

5. Jakie rekomendacje w zakresie pożądanego poziomu bezpieczeństwa posiadamy od właścicieli, udziałowców, zarządu?
Wykorzystanie wielu źródeł informacji jest niezbędne do zbudowania lepszych - bardziej wiarygodnych, obarczonych mniejszym ryzykiem błędu systemów bezpieczeństwa. Znajomość danych z takich źródeł jest także poważnym wzmocnieniem argumentów menedżera bezpieczeństwa w kontaktach z kadrą zarządzającą. Pozwala menedżerowi bezpieczeństwa na operowanie obiektywnymi argumentami, które trudno obalić niedowiarkom.

Jakość pierwszego elementu ma zawsze decydujący wpływ na kolejne etapy cyklu zarządzania bezpieczeństwem. Właściwe, pełne i rzetelne zidentyfikowanie chronionych zasobów, ich podatności na zagrożenia oraz wpływu na bezpieczeństwo całej organizacji determinuje jakość i wartość mapy zagrożeń, a więc jest tym elementem, który decyduje o jakości całego systemu bezpieczeństwa. Na tym etapie tworzenia mapy konieczne jest ścisłe współdziałanie menedżera ds. bezpieczeństwa z pozostałymi osobami zarządzającymi organizacją. Wartościowe jest korzystanie ze źródeł zewnętrznych, pozwalających w sposób niezależny ocenić wartość i wrażliwość poszczególnych procesów, informacji czy mienia na zniszczenie lub utratę z innej przyczyny. Zrealizowanie tego procesu, zwłaszcza w dużych organizacjach, nie jest proste1 i dlatego zaleca się metodyczne podejście do określenia kategorii chronionych zasobów. Celowe jest więc podczas tworzenia mapy zagrożeń podzielenie chronionych zasobów na kategorie, którym z kolei zostaną przyporządkowane odpowiednie - zależne od potrzeb organizacji - priorytety:
ludzie (personel stały i kontraktowy, klienci, goście, podwykonawcy);
mienie (komponenty, wyroby gotowe);
maszyny i urządzenia, sprzęt informatyczny, pojazdy);
informacje (zarówno w systemach IT, jak i przetwarzane w inny sposób, np. archiwa papierowe danych osobowych itd.);
procesy (dostawa, produkcja, magazynowanie, inne procedury krytyczne dla organizacji).
Najwyższy priorytet dotyczy ochrony ludzi, ponieważ to właśnie oni tworząc organizację, są dla niej najważniejsi. Jednocześnie straty organizacji w przypadku narażenia życia bądź zdrowia ludzi są najbardziej dotkliwe. Dlatego tę kategorię chronionych zasobów należy potraktować szczególnie wnikliwie.

Priorytety dla pozostałych kategorii należy nadać w porozumieniu z kadrą zarządzającą, jako osobami właściwymi do oceny wartości chronionych zasobów. Nadając priorytet, najczęściej przyjmuje się jako zasadę nadrzędną wypadkową wartości (materialnej i niematerialnej) mienia, procesu lub informacji dla bezpieczeństwa, interesów, stabilności i pozycji rynkowej organizacji oraz jego podatności na utratę lub zniszczenie.

Dość częstym błędem popełnianym we wstępnym etapie tworzenia mapy zagrożeń, jest bagatelizowanie znaczenia mienia/procesu bądź informacji. W zdecydowanej większości przypadków wynika to z niewystarczającej znajomości zasad bezpieczeństwa ze strony kadry non-security, jak również z niedostatecznej znajomości wartości chronionych zasobów dla organizacji ze strony menedżerów ds. bezpieczeństwa. Stąd konieczne jest odpowiednie przygotowanie kadry non-security do udziału w procesie tworzenia mapy zagrożeń. Właściwe określenie i nadanie priorytetu kategoriom chronionych zasobów jest bowiem możliwe wyłącznie przy pełnym zaangażowaniu kadry zarządzającej organizacją i poszczególnymi jej działami oraz właściwym zrozumieniu szeroko pojętej problematyki bezpieczeństwa przez te osoby.

Jednym z ważniejszych elementów cyklu zarządzania bezpieczeństwem jest określenie adekwatności przyjętych rozwiązań do zagrożeń. Analiza taka ma bezpośredni wpływ na mapę zagrożeń, bowiem jednym z zagrożeń o charakterze krytycznym jest niewłaściwy poziom zastosowanych rozwiązań. Do tego aspektu należy zaliczyć między innymi następujące czynniki:
widoczny - prowokujący brak systemów bezpieczeństwa;
niska sprawność techniczna urządzeń, wysoka awaryjność, degradacja generacyjna;
brak procedur bezpieczeństwa bądź ich lekceważenie przez pracowników;
zbyt mały lub niekompetentny skład działu bezpieczeństwa.
Wymienione powyżej zagrożenia mogą być dostrzeżone dopiero w trakcie kolejnego tworzenia mapy zagrożeń. Ich jednoznacznie krytyczny, a nawet destrukcyjny wpływ na bezpieczeństwo chronionych zasobów nie ulega wątpliwości. Z tego względu tak bardzo istotne jest cykliczne aktualizowanie mapy.
Stworzenie i wprowadzenie w życie cyklu zarządzania bezpieczeństwem jest jedynie początkiem drogi. Mapa zagrożeń nie jest bowiem aktualna bezwarunkowo i bezterminowo. Wymaga ona stałego aktualizowania, co jest związane najczęściej ze zmianą sytuacji, w której funkcjonuje organizacja (stan bezpieczeństwa w dalszym i bliższym otoczeniu, sytuacja polityczna i ekonomiczna, ogólny stan bezpieczeństwa wewnątrz organizacji), a także z ewolucją samej organizacji. Dlatego tak ważnym elementem jest włączenie w proces tworzenia i bieżącej aktualizacji mapy całej kadry zarządzającej organizacją. Najczęściej jednak tworzenie mapy zagrożeń jest pozostawiane menedżerowi ds. bezpieczeństwa, zaangażowanie zaś pozostałych pracowników jest znikome. Stąd istotne zubożenie danych bazowych, niezbędnych do stworzenia mapy zagrożeń, co wpływa jednoznacznie negatywnie na jakość mapy i poziom bezpieczeństwa organizacji.

Niewątpliwie główną rolę w procesie tworzenia mapy zagrożeń odgrywa menedżer ds. bezpieczeństwa. Jakość mapy zagrożeń jest wypadkową jego postawy, wiedzy, doświadczenia, zaangażowania i relacji z pozostałą kadrą organizacji. Menedżer ds. bezpieczeństwa powinien przede wszystkim kreować właściwe podejście do spraw bezpieczeństwa, to w jego gestii jest wnikliwa ocena:
danych uzyskanych z instytucji zajmujących się profesjonalnie bezpieczeństwem;
sytuacji operacyjnej wokół obiektu (obiektów), w którym (których) znajdują się chronione zasoby;
chronionych zasobów, pod kątem prawdopodobieństwa wystąpienia incydentów zagrażającym ich bezpieczeństwu;
bieżących zmian w konfiguracji obiektów, w których zlokalizowane są chronione zasoby i ich wpływu na stan bezpieczeństwa;
zagrożeń wewnętrznych.
Każda zmiana w stanie bezpieczeństwa powinna znaleźć odzwierciedlenie w mapie zagrożeń. Dzięki temu istnieje szansa, że stan bezpieczeństwa obiektu będzie utrzymywany na jednakowym poziomie.

Tworzenie systemu zarządzania bezpieczeństwem jest procesem wieloetapowym, skomplikowanym, a jednocześnie mającym istotny wpływ na późniejszy stan bezpieczeństwa organizacji. Jak każdy proces, tworzenie systemu zarządzania bezpieczeństwem musi mieć stabilne podstawy, pozwalające jasno i precyzyjnie określić, co, gdzie i jak należy chronić. Takim fundamentem jest właśnie mapa zagrożeń, która przedstawia wpływ czynników zewnętrznych oraz wewnątrz organizacyjnych na stan bezpieczeństwa. Wiedza o zagrożeniach jest niezmiernie ważna, pozwala zrozumieć zachodzące wokół chronionych obiektów procesy, ujawnić ich wpływ na stan bezpieczeństwa, określić rodzaj środków, jakie należy zastosować w celu zminimalizowania zagrożeń, a także - poprzez cykliczną aktualizację mapy zagrożeń - określić trend w zakresie bezpieczeństwa.

Zrozumienie potrzeby opracowania i aktualizacji mapy zagrożeń dla menedżerów ds. bezpieczeństwa oraz przedstawicieli kadry zarządzającej dużych organizacji nie jest już niczym nowym. Gorzej przedstawia się sytuacja w organizacjach nie posiadających profesjonalnych kadr bezpieczeństwa, w których widoczne jest oczekiwanie na incydent w bezpieczeństwie. Ta praktyka bywa bardzo kosztowna (dosłownie i w przenośni) - wiedzą o tym z reguły ci, którzy mapy zagrożeń wykonują od dawna i dbają o ich aktualizację.

Dobrze wykonana mapa zagrożeń daje podstawy do stworzenia sprawnego, efektywnego i ekonomicznego systemu bezpieczeństwa. Jest pierwszym elementem tego systemu, pozwalając na faktyczne określenie potrzeb w zakresie bezpieczeństwa. Tworząc mapę zagrożeń, organizacja może dostrzec faktyczne zagrożenia i odpowiednio ukierunkować swoje działania. Co ważne, stworzenie mapy zagrożeń jest działaniem typowo organizacyjnym, czyli niemal nie generującym kosztów.