Czy ryzykiem można w ogóle zarządzać? To sformułowanie kojarzy się trochę z braniem odpowiedzialności za sprawy, nad którymi szalenie trudno zapanować a czasem nawet przewidzieć…

Michał Sobiegraj: Zgadza się. Zapanowanie nad zagrożeniami jest bardzo często niemożliwe. Jednak istotne jest, żeby zdać sobie z nich sprawę i oszacować jak najprecyzyjniej prawdopodobieństwo ich wystąpienia w interesującym nas okresie. Jednocześnie, badając związek zidentyfikowanych zagrożeń z wartością zasobów, które są na nie podatne i na które mogą one wywrzeć negatywny wpływ, możemy określić, jakich strat powinniśmy się z tego tytułu spodziewać. Innymi słowy, jak duże ryzyko ponosimy. Wtedy jest możliwość podjęcia decyzji – czy jesteśmy w stanie zaakceptować to ryzyko (opisane w tym przypadku wysokością straty), czy też jest ono zbyt wysokie i konieczne jest jego obniżenie. Czyli, jak widać, zarządzamy ryzykiem.

Zarządzanie ryzykiem to bardziej statystyka, procedury, projekty czy może procesy?

MS: To przede wszystkim zrozumienie, które zasoby są dla organizacji kluczowe, określenie akceptowalnego poziomu ryzyka i przygotowanie środków zaradczych.

Czy są sytuacje, w których zarządzanie ryzykiem jest niewskazane? Kiedy należy sobie, mówiąc kolokwialnie, odpuścić?

MS: Nigdy. Nikt nie powiedział, że proces zarządzania ryzykiem musi być w pełni sformalizowany. Nieformalnie każdy z nas zarządza ryzykiem w najbardziej prozaicznych sytuacjach, jak choćby przejście przez jezdnię. Opracowanie formalnego procesu zarządzania ryzykiem, oczywiście, kosztuje i jest czasochłonne, jego realizowanie również, a zatem poziom formalizacji i skomplikowania takiego procesu trzeba dostosować do potencjalnych strat, które nam grożą, czyli do wartości przedsięwzięcia, którego ryzykiem chcemy zarządzać.

Samodzielnie – używając zasobów firmy i szkoląc kadrę – czy może lepiej korzystając z zewnętrznych konsultantów?

MS: Jedno i drugie. Do przeprowadzenia rzetelnej analizy ryzyka konieczna jest znajomość organizacji. Stąd warto zadbać, aby w zespole analizy ryzyka znaleźli się,albo ściśle z nim współpracowali pracownicy różnych działów – w końcu mamy mieć obraz ryzyka całej organizacji. Z drugiej strony, żeby nie błądzić po omacku, warto włączyć do zespołu również ludzi, którzy robią to nie po raz pierwszy, czyli na przykład konsultantów.

Jakich argumentów użyć, by przekonać kogoś do wprowadzenia zarządzania ryzykiem?

MS: Użyłbym jednego – pieniądze. Nie znam lepszego sposobu określenia, w jaki sposób zminimalizować koszty związane z czyhającymi na organizację zagrożeniami, niż wdrożenie procesu zarządzania ryzykiem.

Jak często koszty związane z zarządzaniem ryzykiem się zwracają?

MS: Zawsze. Oczywiście, poziom skomplikowania procesu zarządzana ryzykiem musi być dostosowany do potrzeb. Wdrożenie skomplikowanego, sformalizowanego procesu zarządzania ryzykiem należy poprzedzić prostszą nieformalną analizą odpowiadającą na pytanie czy formalizacja jest opłacalna. Np. w kontekście wartości zasobów, które chcemy chronić.

Jak bardzo szczegółowo należy do tego podchodzić? Na jakim etapie przedsięwzięcia warto się interesować ryzykiem?

MS: Im wcześniej, tym lepiej. W myśl zasady, że im wcześniej zorientujemy się, że coś jest nie tak i zabierzemy się za naprawianie, tym mniej nas będą naprawy kosztowały. Wyobraźmy sobie, że np. kontrola dostępu w systemie została błędnie zaprojektowana. Poprawienie jej na etapie projektu jest stosunkowo proste i mało kosztowne, natomiast jeśli system jest już w pełni wdrożony, koszty jakichkolwiek zmian rosną.

Jaka jest świadomość ryzyka w Polsce? Jesteśmy dalej czy bliżej ideału?

MS: Jeszcze przed nami długa droga, ale zmierzamy we właściwym kierunku.

Rozmawiał Paweł Wilk


Michał Sobiegraj – konsultant, certyfikowany specjalista ds. bezpieczeństwa systemów informatycznych (CISSP). Doświadczenie zdobywał m.in. jako analityk ryzyka w globalnym banku ABN AMRO, gdzie zajmował się analizą ryzyka systemów informacyjnych. W wolnych chwilach pisze o bezpieczeństwie na blogu Sobiegraj on Security (http://sobiegraj.com/blog/).