Przejdź do menu Przejdź do treści

Zarządzanie ryzykiem informacyjnym

zespół norm, zasad, procedur i technologii, których stosowanie oraz przestrzeganie w praktyce funkcjonowania określonego systemu (np. przedsiębiorstwa, organizacji, firmy) ma na celu zmniejszenie skali negatywnych skutków zagrożeń informacyjnych, wyeliminowanie słabych stron zabezpieczenia strategicznych informacji oraz ograniczenie konsekwencji mogących wystąpić w przypadku braku ochrony zasobów informacyjnych i danych osobowych. Zarządzanie ryzykiem informacyjnym odnosi się zarówno do bezpieczeństwa informacji, jak i bezpieczeństwa informacyjnego. Jest nakierowanym na obniżenie potencjału ryzyka procesem, którego standaryzacja i harmonizacja zostały określone po raz pierwszy w 2009 r. w międzynarodowej normie standaryzacyjnej ISO 31000, która z kolei odnosiła się do podstaw interdyscyplinarnego zarządzania zdywersyfikowanym ryzykiem, a więc również ryzykiem informacyjnym (5 grup tematycznych normy: obszary zastosowania normy, pojęcia i definicje, zasady zarządzania ryzykiem, opis systemu zarządzania ryzykiem, opis procesu zarządzania ryzykiem). Dlatego też zarządzanie ryzykiem informacyjnym, poprzez nawiązywanie do jednolitych standardów charakterystycznych dla zarządzania ryzykiem w różnych branżach i sektorach gospodarki, będzie traktowane jako nieodzowna część systemowego, holistycznego zarządzania ryzykiem.

Biorąc pod uwagę różnorodność, ale i zbieżność koncepcji zarządzania zdywersyfikowanym ryzykiem, R. Wróblewski stwierdza, że jego

(…) istotą jest organizowany proces planowania, organizowania, przewodzenia i kontroli działalności organizacji w celu pomniejszenia efektu wpływu ryzyka na wyniki organizacji. (…) obejmuje zespół metod i technik identyfikacji, opisu, pomiaru, analizy i oceny ryzyka oraz przyjętych mechanizmów działania (strategia, reagowanie i monitoring), ukierunkowanych na realizację celów przedsiębiorstwa w kontekście tworzenia i ochrony wartości dla jego interesariuszy.

Zarządzanie ryzykiem informacyjnym jawi się zatem jako systematyczne stosowanie strategii planowania i organizowania aktywności danego podmiotu (np. przedsiębiorstwa) w celu usprawnienia komunikacji, uszczelnienia systemu informacji oraz eliminacji niebezpieczeństwa wystąpienia szkody lub straty w zakresie dostępu, tworzenia, wykorzystania, udostępniania, obrotu, przesyłania i utraty różnego rodzaju danych i informacji szczególnie ważnych dla przedsiębiorstwa.

Zarządzanie ryzykiem informacyjnym może być rozumiane jako: narzędzie tworzenia i ochrony wartości (kształtowanie wewnętrznej kultury informacyjnej), integralna część wszystkich procesów organizacyjnych w przedsiębiorstwie (ryzyko utraty informacji – podstawowego narzędzia i zasobu komunikacyjnego firmy – lub celowa dezinformacja mogą spowodować spadek efektywności i wiarygodności przedsiębiorstwa na rynku oraz problemy z organizacją procesu zarządzania), element podejmowania decyzji (aby decyzje w obszarze zarządzania były podejmowane racjonalnie, podmiot zarządzający ryzykiem musi mieć zapewniony stały dostęp do nowych informacji, ponieważ zapotrzebowanie na informacje wzrasta wraz z nowymi wyzwaniami i niebezpieczeństwami ewoluującego świata), instrument eliminowania niepewności (im więcej danych o konkretnym zdarzeniu, tym jego konsekwencje będą bardziej przewidywalne), działanie systematyczne i ustrukturyzowane (oparte na najlepszych dostępnych informacjach) i proces dostosowany do rozwiązywania konkretnych problemów (stosowanie przejrzystych metod i sprawdzonych sposobów zarządzania ryzykiem o informacyjnym charakterze).

T.T. Kaczmarek wymienia następujące fazy procesu zarządzania ryzykiem: identyfikacja ryzyka (w tym system wczesnego ostrzegania), pomiar/kwantyfikacja ryzyka, analiza ryzyka i sformułowanie wariantów, przeciwdziałanie ryzyku (scenariusze działań), decyzje wykonawcze i działania w obszarze ryzyka (sterowanie ryzykiem) oraz kontrola, monitoring i ocena podjętych działań (wnioski na przyszłość). W przypadku prawdopodobnej możliwości wystąpienia ryzyka związanego z bezpieczeństwem informacji istotna jest optymalizacja (strategia oddziaływania) takiego ryzyka w postaci unikania ryzyka, transferu ryzyka, kompensacji ryzyka, dywersyfikacji ryzyka, retencji ryzyka lub redukcji ryzyka. Podobnie jak w przypadku zarządzania innymi rodzajami ryzyka, metodami identyfikowania i analizy ryzyka informacyjnego mogą być m.in.: analiza PEST (political, economic, social, technological), analiza SWOT (strenghts, weaknesses, opportunities, threats), matryca VCICI (vital, critical, importand, convinient, informational), analiza strukturalna 5 sił Portera, katalog rodzajów ryzyka, katalog czynników ryzyka, ankiety ryzyka, ocena opisowa ryzyka itd. Popularnym rozwiązaniem stosowanym w procesie zarządzania ryzykiem w bezpieczeństwie informacji jest model PDCA (plan-do-check-act) stworzony przez W.E. Deminga, w którym kluczową rolę odgrywają 4 fazy. M. Pałęga, systematyzując proces zarządzania ryzykiem, odwołuje się właśnie do modelu PDCA, czyli faz: planuj (ustanawianie kontekstu, szacownie ryzyka, opracowanie planu postępowania z ryzykiem, akceptowalne ryzyko), wykonuj (wcielenie w życie planu postępowania z ryzykiem), sprawdzaj (monitorowanie i przegląd ryzyka) oraz działaj (podtrzymanie i doskonalenie procesu zarządzania ryzykiem w bezpieczeństwie informacji).

Paweł Łubiński

BitSight – The Standard in Security Ratings, https://www.bitsight.com/blog/what-is-information-risk-management [dostęp:19.04.2019]; R.W. Griffin, Podstawy zarządzania organizacjami, PWN, Warszawa 2005; P. Hopkin, Fundamentals of Risk Management: Understanding, Evaluating and Implementing Effective Risk Management, Kogan Page, New York 2018; International Standard ISO 31000 (first edition 15.11.2009). Risk Management – Principles and Guidelines, Geneva 2019; T.T. Kaczmarek, Ryzyko i zarządzanie ryzykiem. Ujęcie interdyscyplinarne, Difin, Warszawa 2005; T.T. Kaczmarek, Zarządzanie ryzykiem. Ujęcie interdyscyplinarne, Difin, Warszawa 2010; M. Lisiecki, Ryzyko w zarządzaniu bezpieczeństwem obywateli, [w:] Zarzadzanie ryzykiem – wyzwania XXI wieku, B.R. Kuca (red.), Wydawnictwo Wyższej Szkoły Zarządzania i Prawa, Warszawa 2007; D. Mąka, Metodyki analizy ryzyka zagrożeń informacyjnych, [w:] Ryzyko w zarządzaniu kryzysowym, P. Sienkiewicz, M. Marszałek, P. Górny (red.), Wydawnictwo Adam Marszałek, Toruń 2012; D.L. Olson, D.D. Wu, Enterprise Risk Management, World Scientific Publishing, Singapore 2015; M. Pałęga, Zarządzanie ryzykiem bezpieczeństwa informacji w świetle wymagań normatywnych, „Systemy Wspomagania w Inżynierii Produkcji” 2017, vol. 6, no. 9; J. Prońko, Zarządzanie ryzykiem w obszarze bezpieczeństwa powszechnego, Wyższa Szkoła Administracji, Bielsko-Biała 2010; P. Sienkiewicz, Zarządzanie ryzykiem w sytuacjach kryzysowych, Akademia Obrony Narodowej, Warszawa 2007; H. Świeboda, Ryzyko zagrożeń informacyjnych bezpieczeństwa narodowego, [w:] Ryzyko w zarządzaniu kryzysowym, P. Sienkiewicz, M. Marszałek, P. Górny (red.), Wydawnictwo Adam Marszałek, Toruń 2012; R. Wróblewski, Zarządzanie ryzykiem w przedsiębiorstwie, „Administracja i Zarządzanie” 2011, nr 90; L. Więcaszek-Kuczyńska, Zagrożenia bezpieczeństwa informacyjnego, „Obronność. Zeszyty Naukowe Wydziału Zarządzania i Dowodzenia Akademii Obrony Narodowej” 2014, nr 2 (10).