петък, 29 август 2014 г.

ISO/IEC 27001 - Декапитация или коронясване - т.е. нека сме наясно с рисковете и възможностите (risks and opportunities)

Какво е "декапитация"? Това е рязане на глава (в контекста на бизнеса - тотално съсипване). 
Коронясване - това всички го знаем (пак в същия контекст - възход и благополучия). 

Тези две действия брутално илюстрират замисъла, усвоен и от стандарта за сигурност на информацията, в който централно място заема онази част, в която организацията (т.е. ние или по-скоро онези, на които ще бъде възложено) трябва да се занимава с планиране на действия за справяне с рискове, носещи вреди (съсипване) и реализиране на възможности (благополучия).

Някои казват "Няма такова нещо като възможности. Всичко е рискове!" и донякъде са прави. Но само дотолкова, доколкото може да наричаме всичко "рискове". Реално се налага да гледаме по различен начин на две категории рискове. Едните са рискове, които категорично и еднозначно водят към неприятни и нежелани последици (риск от пожар, риск от кражба и много още други ...), а другите са рискове с амбивалентен (както биха се изразили някои учени хора) заряд. Казано по народному и популярно "Риск печели - риск губи". 

За първата категория рискове гледаме да направим така, че те да не се реализират. За един риск от втората категория, ако установим че имаме такъв, се налага да се замислим и да търсим баланса - "Колко ще спечелим, ако ... и колко ще загубим, ако ...". При това балансът може да излезе такъв, че да ни накара даже да усилваме риска от категорията "възможност", а не да го намаляваме. 

В този смисъл "действия за справяне" (actions to address) с рискове не може да означава единствено ликвидиране или просто намаляване. Такъв смисъл трябва да разчитаме и в термина "въздействие върху риска" (risk treatment), който термин означава "процес на променяне" или преобразуване (process to modify) на риска. Целта при такова променяне или преобразуване е да се стигне до ползата, която носи възможността.