Unii dintre cei care citesc aceste rînduri știu deja la ce măr refer: la managementul riscurilor bazat pe scenarii.

Îmi susțin de mult timp această abordare cu explicația următoare: creierul nostru este ”leneș”, nu îi plac calculele matematice. Nu știm să realizăm pe loc adunări matematice simple, dar cu numere mari -de ex. 234.489+145.367, dar știm să spunem rezultatul unei înmulțiri, de ex. 4*7. Facem asta deoarece în cel de al doilea caz am exersat acea operație matematică și am stocat rezultatul (sub formă de imagine). Sîntem ”geniali” cînd citim cuvinte cu erori de tehnoredactare pentru că avem deja imaginea acelui cuvînt stocată CORECT în creier și ”algoritmul” face singur ”matching”. Nici cu memoria pe termen lung nu stăm extraordinar de bine….dacă nu se exersează

Creierului nostru îi plac în schimb poveștile/imaginile…..”Mîna întinsă care nu spune o poveste nu primește de mîncare”.….Ne amintim ”imaginile” unui vis dar mult mai greu ”dialogul”….ne ”amintim” mai ușor secvențele unui film și mai greu replicile…complexe (”I ll back again” 🙂 )….Exemplele pot continua….În realitate nu ne plac probabilitățile dar facem management de riscuri ”bazat pe riscuri” non-stop: toată viața noastră este management de riscuri….

Probabilitatea prăbușirii unui avion este mai mare/mică decît cea a deraierii unei garnituri de tren? Măsurile de siguranță de pe un aeroport sînt pentru ”oameni” sau pentru ”activ”? Dacă aveți asigurare facultativă la autoturism, decizia s-a bazat pe un calcul probabilistic? Dar la locuință?

Standardele, bunele practici și (de ceva ani încoace) legislația din domeniul IT/securitate spun că trebuie să avem o ”abordare bazată pe riscuri”. Să luăm ca exemplu ISO27005:2022 care face referire la două abordări:

1. ”When applying the asset-based approach to the risk identification, the assets should be identified. In the risk assessment process, within the development of risk scenarios, the identification of events, consequences, threats, vulnerabilities, should be linked to assets.
2. ”In an event-based approach, scenarios should be built by analysing the different paths, relevant for interactions between the organization and interested parties, that all form an ecosystem that risk sources can use to reach the business assets and their DES.

Dar de unde luăm/găsim SCENARII bune? Îl rugăm pe ”analistul”/”consultantul” care nu știe nimic despre organizația noastră? Căutăm ”template”-ul? Kit-ul? Care este ”activul-vedetă” și care sînt ”vectorii de atac”, sau cum spune ISO: evenimentele, consecințele, amenințările, vulnerabilitățile?

Cel mai mare vinovat de management de riscuri superficial/incorect evaluate pare să fie lipsa de interacțiune și comunicarea deficitară între oamenii/departamentele din organizație (din experiența mea). Management de riscuri ”în afara” pătrățelei de care cineva este responsabil (”silo”) se face doar cînd cineva ”forțează” o astfel de abordare. Dar și atunci schimbul de informații între colegi este limitat și tot nu se obțin rezultate extraordinare dacă nu există un ”facilitator”.

Și atunci cum ar trebui să procedăm pentru a avea scenarii cît mai apropiate de realitate? Să începem cu lucruri simple, să îi întrebăm pe ”responsabilii de proces”: care este coșmarul tău?