• Robert Tracz

Ocena Ryzyka: Security risk assessment część II



Tak jak obiecaliśmy chcemy bardziej zgłębić temat oceny ryzyka dla bezpieczeństwa.


Dziś zajmiemy się czynnikami które powinniśmy brać pod uwagę podczas określania atrakcyjności „Attractiveness” dla wystąpienia określonego zdarzenia oraz wspomnimy o środkach ostrożności innych niże te znane nam z hierarchii ERICPD.



Atrakcyjność danego celu może być określana biorąc pod uwagę wiele czynników, mogą być to:

  • Relacje społeczne

  • Przedmioty o wysokiej wartości, np. samochody, laptopy

  • Łatwość dostępu

  • Ilość ofiar lub uszkodzenie mienia

  • Bliskość względem innych atrakcyjnych celów

  • Potencjał zakłócenia infrastruktury

  • Reputacja firmy

oraz wiele więcej


Jednak, aby odpowiednio określić prawdopodobieństwo wystąpienia danej sytuacji nie powinniśmy polegać jedynie na doświadczeniu ekspertów i stwierdzeniach „tak mi się wydaje”. Nawet jeśli nasze matryce ryzyka są jedynie jakościowe a nie ilościowe to przy kolektywnych określeniach i wyborach poziomu ryzyka dla poszczególnych zagrożeń powinniśmy brać pod uwagę maksymalną ilość danych jaka jest możliwa. To właśnie dane, te z regionu, podobnych fabryk, sklepów, firm, baz danych naszych doświadczeń oraz wielu innych źródeł kluczem do stworzenia „adekwatnej” oceny ryzyka.


Jeśli chodzi o Środki ostrożności to w ocenie ryzyka bezpieczeństwa „security” za adekwatną uznaje się metodę:


DETER (Powstrzymaj)

Jest to strategia mająca na celu zapobieganie lub zniechęcanie do naruszenia bezpieczeństwa poprzez wprowadzenie np. wątpliwości lub strachu. Systemy bezpieczeństwa fizycznego, takie jak znaki ostrzegawcze, światła, umundurowani strażnicy, kamery i kraty to przykłady systemów odstraszających.


DETECT (Wykryj)

Jest to strategia mająca na celu zidentyfikowanie kto mógłby chcieć wyrządzić szkody dla naszej organizacji, pracowników lub wykorzystać nasze zasoby do złych celów zanim do tego dojdzie. Strategia ta zapewnia obserwację w czasie rzeczywistym, przechwytywanie i analizę działań po incydencie oraz identyfikację potencjalnych grup czy osób, które mogą chcieć działać na szkodę organizacji, społeczeństwa lub pracowników.


DELAY (Opóźnij)

Jest to strategia bezpieczeństwa polegająca na zapewnieniu różnych barier (fizycznych lub systemów zarządzania) w celu spowolnienia działań na szkodę organizacji, społeczeństwa czy pracowników. Przykładem może być: ograniczony dostęp do pomieszczeń kontrolnych lub centrów informatycznych / komunikacyjnych, eskortowanie gości, przeszukiwanie pojazdów lub bagażu przy wejściu lub wyjściu z obiektu.


RESPOND (Odpowiedz)

Jest to strategia bezpieczeństwa oparta na posiadaniu planów reagowania kryzysowego w celu zarządzania ryzykiem po ataku na obiekt. Strategia znana jest także z minimalizowania szkód w następstwie określonych zdarzeń. Przychodnie medyczne, placówki szpitalne i różne organizacje opracowują np. plany dla ciągłości funkcjonowania.

Pamiętajmy, że Zagrożenia dotyczące Bezpieczeństwa rozumianego w kontekście „Safety” są zwykle dość statyczne (np. Nie zmieniają się zbytnio w czasie), podczas gdy zagrożenia dotyczące bezpieczeństwa „Security” mogą zmieniać się bardzo szybko.

32 wyświetlenia0 komentarz

Ostatnie posty

Zobacz wszystkie