LexDigital

Zarządzanie ryzykiem – wyjaśniamy cały proces!

Czym jest zarządzanie ryzykiem? Odpowiedź wydaje się oczywista, ale diabeł tkwi w szczegółach. Prawidłowe zrozumienie tego procesu pozwoli Ci uniknąć strat finansowych, poprawić bezpieczeństwo firmy i mieć pewność, że Twoja firma nie poniesie kar administracyjnych. Sprawdź poradnik naszej ekspertki!

Zarządzanie ryzykiem – wyjaśniamy cały proces!

Zarządzanie ryzykiem w bezpieczeństwie informacji

W pierwszej kolejności wyjaśnijmy pojęcia – minimalizacja ryzyka to jeden z kluczowych elementów Systemu Zarządzania Bezpieczeństwem Informacji (w skrócie SZBI) według międzynarodowego standardu ISO 27001.

System bezpieczeństwa informacji zbudowany jest z:

  • polityk
  • procedur
  • wytycznych
  • zasobów (kadrowych, finansowych, technicznych)

oraz działań, które wspólnie zarządzane przyczyniają się do zapewnienia wysokiego poziomu ochrony aktywów informacyjnych organizacji. Wyznacznikiem skuteczności bezpieczeństwa informacji jest zasada podejścia opartego na ryzyku.

Zarządzanie ryzykiem to podejmowanie decyzji i realizacja działań prowadzących do osiągnięcia akceptowalnego poziomu ryzyka w przedsiębiorstwie.
Zarządzanie ryzykiem to podejmowanie decyzji i realizacja działań prowadzących do osiągnięcia akceptowalnego poziomu ryzyka w przedsiębiorstwie.


Szacowanie ryzyka powinno być podstawą do wyboru zabezpieczeń, adekwatnych do podatności danego zasobu i całego kontekstu organizacji. Zabezpieczenia te powinny być następnie odzwierciedlone w tzw. Deklaracji stosowania zabezpieczeń zbudowanej zgodnie ze schematem Załącznika A do normy PN-EN ISO/IEC 27001:2023. Zarządzanie ryzykiem jako proces ciągły pozwala na racjonalne podejmowanie decyzji związanych z zapewnieniem bezpieczeństwa informacji i efektywną alokację środków, którymi dysponuje w danym momencie organizacja.

UODO kontroluje niezależność IOD. Sprawdź wytyczne i uniknij kar!

Zarządzanie ryzykiem – wymagania normatywne

Ocena ryzyka w bezpieczeństwie informacji to proces identyfikowania, rozwiązywania i zapobiegania problemom bezpieczeństwa. Ocena często opiera się na aktywach, a ryzyko ocenia się w odniesieniu do posiadanych zasobów informacyjnych. Ocena prowadzona jest w całej organizacji. Co więcej, ISO 27001 wyraźnie wymaga, aby proces zarządzania ryzykiem był stosowany do przeglądu i potwierdzania kontroli bezpieczeństwa w świetle obowiązków prawnych i umownych.

Brak zarządzania ryzykiem oznacza wiele potencjalnych zagrożeń, także dla stabilnych wyników finansowych.
Brak zarządzania ryzykiem oznacza wiele potencjalnych zagrożeń, także dla stabilnych wyników finansowych.


Wymagania w zakresie zarządzania ryzykiem wprowadzają rozdziały 6 i 8 oraz pośrednio 9.3.1.2 PN-EN ISO/IEC 27001:2023 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – System zarządzania bezpieczeństwem informacji. WW. punkty nie tylko wskazują na potrzebę identyfikowania ryzyka, ale co ważniejsze na postępowanie z ryzykiem, czyli na działania, jakie organizacja podejmuje wobec zdefiniowanych ryzyk czy też szans. 

Zarządzanie ryzykiem w bezpieczeństwie informacji

Ryzyko przez normy z serii ISO definiowane jest jako wpływ niepewności na cele, przy czym następstwem niepewności jest odchylenie od oczekiwań zarówno to pozytywne, jak i negatywne. Rozwijając powyższe — pod pojęciem ryzyka rozumie się prawdopodobieństwo wystąpienia zdarzenia, które będzie miało określony wpływ (skutki) na realizację założonych celów. Rolą podejścia opartego na ryzyku jest dostarczenie informacji o potencjalnych zdarzeniach, które mogą oddziaływać na organizację, jej proces czy też zasób, i podejmowanie na tej podstawie działań jeszcze przed zmaterializowaniem się ryzyka. Daje to organizacji rozsądny poziom pewności, pozwalający na skuteczniejsze zarządzanie danym obszarem działalności, co przekłada się na finanse organizacji, osiągane cele czy zachowanie bezpieczeństwa aktywów informacyjnych.

Nie popełnij tych błędów przy szkoleniach RODO. Sprawdź nasz poradnik!

Żaden ze standardów ISO nie mówi wprost, w jaki sposób zarządzanie ryzykiem ma się odbywać, w jaki sposób je identyfikować i mierzyć. Metody szacowania ryzyka i postępowania z ryzykiem powinny być dostosowane do poszczególnych czynników charakteryzujących organizację (czyli „szyte na miarę”), a ich wybór powinien uwzględniać estymację kosztów i korzyści, wymagania prawne czy ten inne priorytety i zmienne właściwe dla danej organizacji. Powinny one zapewniać również możliwość porównywania wyników w czasie.  Zaleca się, aby proces zarządzania ryzykiem zgodny z ISO 27001 składał się z ośmiu elementów, które mogą odbywać się zgodnie z zasadą PDCA (Plan-Do-Check-Act).

Unikanie ryzyka opiera się na schemacie PDCA, który na polski można przełożyć jako Planuj-Wykonaj-Sprawdź-Działaj.
Unikanie ryzyka opiera się na schemacie PDCA, który na polski można przełożyć jako Planuj-Wykonaj-Sprawdź-Działaj.


Kontrola ryzyka - etapy

Zarządzanie ryzykiem bezpieczeństwa informacji to systemowe działanie polegające na szacowaniu ryzyka (identyfikowanie ryzyka, jego analiza i ocena) oraz podejmowaniu działań na podstawie stwierdzonego ryzyka w taki sposób, aby miało to wartość dodaną dla realizacji celów biznesowych. Jego istotą jest także podejmowanie świadomych i odpowiedzialnych decyzji dotyczących ryzyk. Można je podzielić na 8 etapów:

1. Ustanowienie kontekstu

Ustanowienie kontekstu jest pierwszym etapem zarządzania ryzykiem. Jest to moment, w którym organizacja powinna określić i zrozumieć czynniki zewnętrzne i wewnętrzne wpływające na jej funkcjonowanie, cele oraz sposoby ich realizacji. Na kontekst zewnętrzny składają się w szczególności czynniki kulturowe, społeczne, polityczne, ekonomiczne, technologiczne czy finansowe. Są to także relacje, jakie łączą organizację ze wszystkim interesariuszami i ich oczekiwania. Przez kontekst wewnętrzny natomiast rozumie się strukturę organizacyjną, strategię, misję, cele organizacji, podział zadań, zasoby, kulturę organizacyjną czy kontrakty biznesowe. Dokładne zdefiniowanie kontekstu, w jakim działa organizacja pozwala na kolejnych etapach ustalić kryteria oceny ryzyka i jego akceptacji oraz ocenić wpływ zagrożeń na organizację i jej cele.

Określenie zewnętrznych i wewnętrznych kwestii, które są istotne dla celu i które wpływają na zdolność do osiągnięcia zamierzonych wyników systemu zarządzania bezpieczeństwem informacji stanowi wymóg ISO 27001 wskazany w punkcie 4 "Kontekst organizacji".

Rozwiąż kwestię dokumentacji RODO za pomocą jednego pakietu. Sprawdź nasze wzory dokumentów!

2. Identyfikacja ryzyka

Identyfikacja ryzyka, czyli proces wyszukiwania, rozpoznawania i opisywania ryzyka polega na określeniu przyczyn i sposobów materializacji niepożądanych zdarzeń. Obejmuje on ustalenie zasobów (aktywów) informacyjnych, zagrożeń i źródeł ich powstawania.

Na tym etapie identyfikuje się również podatności oraz potencjalne skutki i straty związane z niepożądanymi zdarzeniami.  Kluczem do sukcesu na tym etapie jest właściwe i bardzo dokładne zinwentaryzowanie aktywów, czyli wszystkiego, co posiada dla organizacji wartość i jest nośnikiem informacji.

Najczęściej wyróżnia się następujące kategorie aktywów:

  • informacyjne (dokumenty, bazy danych)
  • fizyczne (sprzęt komputerowy, budynki, urządzenia komunikacyjne)
  • oprogramowanie (systemy operacyjne, aplikacje)
  • personel (jego wiedza, doświadczenie i umiejętności)
  • dobra niematerialne (reputacja, wizerunek).

Kolejną rzeczą, na którą należy zwrócić uwagę, jest wskazanie dla każdego z aktywów właściciela, czyli osoby odpowiedzialnej za jego utrzymanie, korzystanie i bezpieczeństwo.  Po określeniu aktywów i przypisaniu im właścicielstwa następuje moment identyfikowania potencjalnych zagrożeń, czyli zdarzeń (losowych, umyślnych, nieumyślnych), które mogą oddziaływać na bezpieczeństwo aktywa. Dobrze jest także określić podatności aktywa, czyli inaczej mówiąc słabości lub luk w systemie przetwarzania informacji, które umożliwiają zmaterializowanie się danego zagrożenia.

Temat zarządzania ryzykiem świetnie ilustruje przykład haseł. Im są mocniejsze, tym mniejsze potencjalne ryzyko złamania zabezpieczeń.
Temat zarządzania ryzykiem świetnie ilustruje przykład haseł. Im są mocniejsze, tym mniejsze potencjalne ryzyko złamania zabezpieczeń.


3. Analiza ryzyka

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz określenia jego poziomu. Najczęściej sprowadza się on do określenia prawdopodobieństwa oraz skutków zaistnienia zidentyfikowanego ryzyka. Zaleca się, aby podczas oceny prawdopodobieństwa zaistnienia określonych zagrożeń rozważyć:

  • źródło zagrożenia
  • możliwości dostępne dla potencjalnych atakujących
  • atrakcyjność i wrażliwość zasobów dla potencjalnych atakujących
  • lokalizację
  • możliwość wystąpienia ekstremalnych warunków atmosferycznych
  • czynniki determinujące powstawanie błędów i pomyłek.

Przy ocenie skutków należy mieć na uwadze zarówno te bezpośrednie (koszty odtworzenia utraconych aktywów, konfiguracji, instalacji zasobu czy straty finansowe i wizerunkowe poniesione jako konsekwencja zawieszenia/braku dostępności usługi) oraz pośrednie (naruszenie obowiązków umownych, ustawowych czy kodeksów postępowania).  Na tym etapie dokonujemy również oszacowania wielkości ryzyka na podstawie kombinacji prawdopodobieństwa wystąpienia zagrożenia oraz jego skutków.

Podczas oceny zysków i strat koniecznie weź pod uwagę możliwość nałożenia kary administracyjnej.
Podczas oceny zysków i strat koniecznie weź pod uwagę możliwość nałożenia kary administracyjnej.


4. Ocena ryzyka

Ocena ryzyka to proces porównania wyników analizy ryzyka z kryteriami ryzyka. Te kryteria to poziomy odniesienia, względem których określa się wysokość ryzyka. Etap dostarcza informacji, czy dane ryzyko jest dla organizacji akceptowalne. Pozwala on także na uszeregowanie ryzyk zgodnie z ich wartością oraz nadanie priorytetów postępowania z nimi.

Zarządzanie hasłami - tak uchronisz się przed hakerami!

5. Metody zarządzania ryzykiem

Proces postępowania z ryzykiem, czyli jego modyfikacji za pomocą różnych strategii, w tym:

  • redukcja ryzyka – obniżenie ryzyka do poziomu akceptowalnego dla organizacji poprzez dobór i zastosowanie odpowiednich czy to technicznych, czy organizacyjnych środków bezpieczeństwa dobranych adekwatnie do skali ryzyka oraz zasobów organizacji
  • unikanie poprzez podjęcie działań zmierzających do zmodyfikowania lub całkowitego zaprzestania danej aktywności generującej ryzyko
  • przeniesienie – zlecenie czynności tworzącej ryzyko podmiotom zewnętrznym lub wykup polisy ubezpieczeniowej
  • utrzymanie – akceptacja ryzyka na stwierdzonym poziomie, poprzez podjęcie świadomej decyzji o niestosowaniu w danym momencie żadnych działań mających na celu redukcję ryzyka czy jego przeniesienie. 

Bez względu na to, na którą z powyższych strategii zdecyduje się organizacja, powinna ona udokumentować swoje stanowisko w tzw. planie postępowania z ryzykiem, o którym mowa w punkcie 6.1.3 standardu ISO 27001. Plan powinien być zaakceptowany przez właściciela ryzyka i weryfikowany w trakcie i po jego zakończeniu w celu oceny skuteczności i efektywności zaplanowanych prac.

Sterowanie ryzykiem operacyjnym pozwala zminimalizować zagrożenia dla biznesu.
Sterowanie ryzykiem operacyjnym pozwala zminimalizować zagrożenia dla biznesu.


6. Akceptacja ryzyka

Po wdrożeniu planu postępowania z ryzykiem następuje etap akceptacji tzw. ryzyka szczątkowego (rezydualnego), pozostałego po wdrożeniu zabezpieczeń. Ryzyko szczątkowe to takie, którego nie możemy już wyeliminować, a względem którego kierownictwo ustaliło i przyjęło kryteria akceptacji. Innymi słowy, jest to ryzyko, z którego firma zdaje sobie sprawę i które świadomie podejmuje – oczywiście naszym celem jest doprowadzenie do tego, aby było ono jak najniższe.

7. Informowanie o ryzyku

Proces przekazywania wiedzy uczestnikom procesu (pracownikom zaangażowanym w dany proces, korzystającym z danego zasobu) o bieżącym statusie ryzyka. Mechanizmy, zgodnie z którymi te informacje są przekazywane, powinny być zaprojektowane już na etapie budowania systemu zarządzania ryzykiem. Powinny one zapewniać dostępność informacji właściwym osobom, w określonym czasie oraz pozwalać na wymianę wiedzy i konsultacje. Istotą informowania ryzyku jest zapewnienie, że każdy właściciel ryzyka jest świadomy swojej roli oraz zakresu obowiązków i odpowiedzialności.

8. Monitorowanie i przegląd ryzyka

Zarządzanie ryzykiem jest procesem ciągłym, więc duże znaczenie ma w nim monitorowanie oraz przegląd ryzyk.

Etap ten ma za zadanie: 

  • ustalić, czy system zarządzania ryzykiem spełnia założone cele, oraz czy polityki i procedury ustanowione w jego ramach są nadal aktualne, odpowiednie i wydajne.
  • zapewnić, że wszystkie nowe ryzyka zostaną w odpowiednim czasie zidentyfikowane oraz ustanowi się wobec nich priorytety działania.  Monitorowanie oraz przegląd ryzyk powinny być prowadzony w kontekście nowych aktywów, zagrożeń i podatności, a także incydentów związanych z naruszeniem bezpieczeństwa informacji. W sytuacji odnotowania jakichkolwiek zmian czynników wpływających na ryzyko należy dokonać ponownego przeglądu ryzyk oraz zaktualizowania ich wartości, jeżeli jest to uzasadnione.
Przedsiębiorca, który nie eliminuje zagrożeń, ryzykuje utratą ciągłości działania.
Przedsiębiorca, który nie eliminuje zagrożeń, ryzykuje utratą ciągłości działania.


Metody szacowania ryzyka

Wyróżnia się trzy główne metody szacowania ryzyka:

  • ilościowa
  • jakościowa
  • mieszana. 

Analiza ilościowa polega na ocenie prawdopodobieństwa oraz skutków wystąpienia ryzyka poprzez nadanie im konkretnych wartości liczbowych. Zaletami metod ilościowych jest powtarzalność i względna obiektywność wyników, dzięki czemu mogą być one porównywane w czasie. Do metod ilościowych zalicza się między innymi techniki: drzewo zdarzeń (Events Tree Analysis), drzewo błędów (Faults Tree Analysis) oraz FMEA.

Metoda jakościowa polega na indywidualnej ocenie ryzyka na podstawie doświadczenia, wiedzy oraz dobrych praktyk. Metoda ta wykorzystuje subiektywne miary i oceny takie jak wartości opisowe poziomów (niski, średni, wysoki). Korzyści metod jakościowych to:

  • brak konieczności ilościowego określenia skutków i częstotliwości wystąpienia zagrożeńž › wskazanie ogólnych obszarów ryzyka, na które konieczne jest zwrócenie uwagi
  • możliwość uwzględnienia takich czynników jak np. wizerunek organizacji, jej kultura.

Metoda mieszana to oczywiście połączenie analizy ilościowej i jakościowej.

Jak zapewnić zgodność z NIS 2? Nowe obowiązki dla firm

Zalety stosowania podejścia opartego na ryzyku

Podejście oparte na ryzyku coraz częściej wykorzystywane jest w różnych sferach życia organizacji, ponieważ niesie ze sobą wymierne korzyści. Główną zaletą zarządzania ryzykiem jest to, że to organizacja dobiera środki bezpieczeństwa (czy to techniczne, czy organizacyjne) adekwatnie do stwierdzonego w danym czasie ryzyka z uwzględnieniem jej "apetytu na ryzyko" oraz zasobów, którymi w danym momencie dysponuje. Daje to również możliwość optymalizacji kosztów poprzez wczesne reagowanie na anomalie i przyjęcie postawy reaktywnej zamiast zapobiegawczej. Zabezpieczenia są też adekwatne do skali i specyfiki działalności – czego innego potrzebuje bank, a czego innego salon fryzjerski.

Pozostałe korzyści:

  • podejmowanie świadomych decyzji przez kierownictwo
  • zmniejszenie liczby i skali ryzyk
  • wzrost zaufania klientów i innych stron zainteresowanych
  • ujednolicenie podejścia od oceny ryzyka i reakcji na nie poprzez wdrożenie jednolitej metody oceny w różnych obszarach organizacji.
Zarządzanie ryzykiem ma na celu doprowadzenie do sytuacji, w której możesz zminimalizować wszelkie zagrożenia.
Zarządzanie ryzykiem ma na celu doprowadzenie do sytuacji, w której możesz zminimalizować wszelkie zagrożenia.


Podsumowanie: nie ryzykuj!

Zarządzanie ryzykiem w bezpieczeństwie informacji opiera się na odpowiednim zaplanowaniu, organizacji kierowania oraz kontrolowaniu zasobów. Wymaga zaangażowania oraz współpracy wszystkich stron przetwarzających informacje w celu określenia kryteriów akceptacji, wymagań oraz wyboru opcji postępowania z ryzykiem. Oprócz tego, istotną rolę w obszarze zarządzania ryzykiem przypisuje się kierownictwu organizacji, które jest odpowiedzialne za kształtowanie oraz wzmacnianie wśród pracowników poczucia świadomości występowania zagrożeń, oraz potrzeby przeciwdziałania sytuacjom kryzysowym.

Warto również zauważyć, że podejście oparte na ryzyku i zarządzanie przez ryzyko nie jest cechą charakterystyczną jedynie dla norm z serii ISO. Koncepcja RODO również jest zbudowana jest na tym podejściu, dając administratorom swobodę w wyborze zabezpieczeń i ich racjonalizację w zależności od skali ryzyka, charakteru danych czy specyfiki organizacji.

Z naszego doświadczenia wynika, że system zarządzania ryzykiem będzie przynosił wymierne efekty tylko wówczas, jeżeli zostanie w odpowiedni sposób zaplanowany i ustanowiony. Ważna jest również komunikacja jego istoty i korzyści wśród personelu. Warto także na koniec podkreślić, że nie ma jednej uniwersalnej metody szacowania ryzyka, a dochodzenie do tej odpowiedniej dla organizacji również jest procesem, który może trwać nawet kilka lat i ewoluować wraz z organizacją.

Unikanie ryzyka to klucz do wiarygodnego biznesu. Czy Twoja organizacja na pewno jest chroniona? Umów się na bezpłatną konsultację, a odpowiemy na wszystkie Twoje pytania.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk