Każde ryzyko ma swojego właściciela – analiza ryzyka cz. 3
Dodano: 17-03-2014 w kategorii: Zasady przetwarzania danych osobowych, Obowiązki ADO i ABI. Dodane przez: Piotr Kawczyński.
W poprzednim poście omówione zostały metody szacowania ryzyka. Czas zatem na przedstawienie podsumowania, czyli reakcji na ryzyko i zasad postępowania z ryzykiem.
Występują cztery podstawowe reakcje na ryzyko, do których możemy zaliczyć:
1. unikanie ryzyka,
2. kontrolowanie ryzyka,
3. przeniesienie ryzyka,
4. zatrzymanie ryzyka.
Unikanie ryzyka i jego kontrolowanie
Unikanie ryzyka polega na całkowitym uwolnieniu własnych zasobów i procesów od tego ryzyka. Jeżeli takie czynności zostały zrealizowane, ale w dalszym ciągu pozostaje konieczność podjęcia odpowiedniej reakcji to należy podjąć próbę jego kontrolowania. Kontrolowanie ryzyka może być realizowane poprzez prewencję, czyli zapobieganie wystąpienia podatności oraz redukcję, czyli zmniejszanie wielkości strat. Zasady redukcji powinny być podstawą do opracowania zasad ciągłości działania organizacji.
Przeniesienie ryzyka
W przypadku, gdy poziom ryzyka nadal pozostaje wysoki, organizacja powinna rozważyć jego przekazanie w całości lub części. Transferu ryzyka można dokonać jedynie do organizacji, która potrafi takim ryzykiem zarządzać i lepiej z nim postępować w stosunku do podmiotu, który przekazuje ryzyko. Przeniesienie ryzyka może opierać się o outsourcing tych procesów lub funkcji, które obarczone są wysokim ryzykiem. Można również zaprosić zewnętrzny podmiot do uczestnictwa poprzez przetransferowanie samego ryzyka. Kolejną czynnością jest ubezpieczenie ryzyka, jednak przed podjęciem takiej decyzji należy rozważyć czy organizacja, która odpłatnie przejmie odpowiedzialność za nasze ryzyko, będzie potrafiła skutecznie na nie zareagować i je kontrolować.
Za przykład do rozważań, może nam posłużyć zakup laptopa, na którym będziemy przetwarzali poufne dla nas informacje.
1. Jeżeli poza zakupem nie podejmiemy żadnych dodatkowych środków bezpieczeństwa to oznacza, że akceptujemy ryzyko np. kradzieży lub uszkodzenia.
2. Ryzyko możemy zminimalizować stosując szyfrowanie dysku twardego, konfigurując odpowiednio mocne hasło oraz instalując oprogramowanie antywirusowe.
3. Ryzyko możemy przenieść, ubezpieczając nasz sprzęt od kradzieży i uszkodzeń oraz przenieść obowiązek wykonywania kopii zapasowych na inny podmiot.
4. Ryzyka możemy w końcu uniknąć nie kupując laptopa.
Zatrzymanie ryzyka
Ostatnią reakcją jest zatrzymanie ryzyka, które ściśle powinno się wiązać z opracowaniem odpowiednich planów odtwarzania.
W administrowaniu ryzykiem podstawową zasadą jest uznanie faktu, że każde ryzyko ma swojego właściciela. Czynności jakie powinien on powziąć to:
1. powiadamianie o stanie ryzyk,
2. opracowanie metod zarządzania ryzykiem i planu odtwarzania,
3. monitorowanie procesu zarządzania ryzykiem.
Właściciel ryzyka powinien mieć możliwość podejmowania decyzji, w jaki sposób będzie reagować na ryzyko, jakie będzie miał możliwości finansowania działań w zakresie dostępnego budżetu oraz posiadać uprawnienia do zlecania zmian w zakresie kontrolowania ryzyka. Zarządzanie ryzykiem stanowi świadome i rozsądne podejście, które powinno być wykorzystywane do konkretnych działań w obszarze bezpieczeństwa informacji oraz ciągłości działania.
Zobacz również:
Analiza ryzyka - kilka uwag wstępnych - cz.1
Analiza ryzyka – metody szacowania ryzyka - cz. 2