Vă propun o problemă. Voi fi cât mai succint în explicaţii……
Folosim matricea de mai sus, preluată din ISO 27005:2011.
1. Să presupunem că trebuie eliminat/acceptat unul din cele 3 scenarii de risc ce afectează acelaşi activ. Riscurile sunt distribuite ca în figura de mai jos:
Care va fi riscul pe care îl vom elimina?
2. Avem acum următoarea situaţie:
- R1: O pierdere de 95 lei, cu probabilitate 100% (very high)
- R2: O pierdere de 75 de lei cu probabilitate 100% (very high)
- R3: O pierdere de 95 lei cu probabilitate 50% (medium)
Din cauza restricţiilor bugetare, trebuie eliminat/acceptat unul din cele 3 scenarii de risc ce afectează acelaşi activ:
Care va fi riscul pe care îl vom elimina?
3. Pentru acelaşi activ, în următoarele scenarii de risc pierderile scad cu 15 lei faţă de situaţia anterioară. Riscurile vor fi distribuite astfel:
Care va fi riscul pe care îl vom elimina?
Notă:
- „The risk acceptance activity has to ensure residual risks are explicitly accepted by the managers of the organization. This is especially important in a situation where the implementation of controls is omitted or postponed, e.g. due to cost.” – ISO 27005:2011
- În practică nu e suficient să avem matrice/template şi/sau „cifre”…..
ADRIAN B. MUNTEANU 
R2, R1, R1
ApreciazăApreciază
Asteptam sa vad care iese cu comentarii, acesta fiind scopul primului comment.
Ideea de baza e : „The risk acceptance activity has to ensure … risks are explicitly accepted by the managers of the organization”.
Ca sa dau un exemplu de ce nu trebuie sa dam noi un raspuns in virtutea citatului de mai sus: o colega imi povestea de o oarecare companie, cu patroni sot si sotie. Directorul economic al firmei, tot o femeie, a venit cu o propunere, un tertip de bun simt in a se asigura ca nu pot fi afectati de riscul de neplata din partea unui anumit client, o propunere care i-ar fi scapat de pierderea unui mld in cazul manifestarii vulnerabilitatii.
Concluzia, solutia nu a fost inca implementata pentru ca sotiei patron nu i-a placut din partea cui vine propunerea. Asa ca matricea probabilitate/impact nu este de ajuns cateodata.
ApreciazăApreciază
Mulţumesc :D.
Poate vor mai fi şi alte opinii pe lângă a ta…
ApreciazăApreciază
1 / ma duc pe R3. sunt un om norocos asa ca ma risc cu likelihood la R2/R1. In schimb nu imi place high business impact la R3.
2 si 3, daca inteleg bine am restrictii bugetare.
Asta inseamna ca implementez cu anumite limite financiare, nu prea are legatura cu impactul si probabilitatea de impact. Nu imi spui niciunde cat ma costa sa lucrez pe R1/2/3 doar consecintele impactului.
Asa ca ma duc la 2 -> R3 in speranta ca exista solutii decente ca si pret pentru a scapa de un risk cu high business impact dar probabilitate mai joasa.
Si ma duc pe R1 la 3.
ApreciazăApreciază
Matricea trebuie sa existe, macar pentru considerentul enuntat la art. 4.2.1.c)2), respectiv asigurarea ca evaluarea riscului “produce rezultate comparabile si reproductibile”.
Mai departe este este simplu: orice am alege raspunsul NU va fi corect din punct de vedere al completitudinii relativ la realitatea pe care am avut-o in vedere la incadrarea unui anumit risc in plaja R1-R3. Mai mult, strict valorile matriciale, nu-mi spun nimic, insa daca personalizam riscurile (R1=server de domeniu, R2=personal cheie, R3=multifunctionala), atunci incepem sa rationam si sa constatam ca pentru evaluarea unei resurse (valoare care este determinant in marimea riscului) trebuie sa avem in vedere mult mai mult decat “contramasurile deja existente” printre care: costurile de inlocuire, pozitia resursei in topologia infrastructurii IT sau organigrama, dependentele sistemice, serviciu utilizator furnizat, locatia fizica in care resursa exista/functioneaza etc. Sau, cum imi spunea prietenul meu acum cateva zile, ce faci daca esti perfect convins asupra carui risc trebuie eliminat, insa bugetul nu este suficient pentru implementarea eficace a contramasurilor aferente.
Problema acceptarii sau renuntarii trebuie insa sa “nu afectează capacitatea şi/sau responsabilitatea organizaţiei de a oferi o securitate a informaţiilor care îndeplineaste cerinţele securităţii determinate prin evaluarea riscului, precum şi cerinţele reglementarilor legale aplicabile”.
Foarte delicat/complicat raspunsul la o asemenea problema…!
ApreciazăApreciază
(Dani, cu scuze. Raspunsul tau a ajuns mai intii in spam)
ApreciazăApreciază
Dupa parerea mea, un manager se va uita in primul rand la impactul asupra afacerii (pentru ca este mai usor de cuantizat) si abia in al doilea rand la probabilitati (care incep sa fie prea mult luate in „calcul”).
Deci, la acelasi cost de implementare a controalelor pt R1,R2,R3, as propune astfel:
1. R3
2. R1
3. R1
ApreciazăApreciază
Va multumesc!!!!!!
ApreciazăApreciază
În primul exemplu nu am oferit nici o informaţie. Doar trei riscuri care au asociate aceeaşi cifră: 6. Care cifră, la prima vedere, ne spune că lucrurile ar sta rău dacă ţinem cont şi de criteriile de acceptanţă.
Scopul acestui prim exemplu a fost să scoată în evidenţă că cifrele, luate singular, nu spun nimic. Sunt doar cifre.
În cel de al doilea exemplu am adus în discuţie probabilităţi şi pierderi. Am menţionat însă că există restricţii bugetare. Nu am spus şi care ar fi acestea. Într-o organizaţie vor fi foarte rare situaţiile în care vom avea la dispoziţie un buget prin care să facem tot ce ne propunem.
Într-un comentariu la postul anterior Dan aduce în discuţie “the effect of uncertainty on objectives”. Citatul este o frântură din definiţia riscului dată de ISO 31000. Aici apare o întrebare: pot să îmi asum un risc “mare” dacă voi avea, potenţial, beneficii mari? Să ne gândim la jocul cu CDS-uri….
Dani spune că “Mai departe este este simplu: orice am alege raspunsul NU va fi corect din punct de vedere al completitudinii relativ la realitatea pe care am avut-o in vedere la incadrarea unui anumit risc in plaja R1-R3.” Asta este şi opinia mea!
În ultimul scenariu, un risc ajunge în “banda galbenă” iar celelalte rămân pe “roşu”. La prima vedere, strict prin prisma cifrelor, se poate interpreta că riscul “galben” este acceptabil şi ne vom concentra doar pe cele “roşii”. Nu este neapărat corect! Indiferent de “culoare” trebuie să interpretăm tot prin prisma “obiectivelor”.
Postul se termina cu o notă pe care o reiau şi aici:
“The risk acceptance activity has to ensure residual risks are explicitly accepted by the managers of the organization.”
ApreciazăApreciază
Pingback: Înclinaţia naturală pentru riscuri – copilul este tatăl adultului « ADRIAN MUNTEANU