Metody i technikiPrzybornikŚwiatWieści

OCTAVE, ale FORTE

OCTAVE wzbogacone o kolejną publikację

Ważne
  • Technologie informatyczne – jak oceniają eksperci – stają się jednym z ważniejszych czynników niezbędnych dla funkcjonowania organizacji, Ba, nie trzeba ekspertów, żeby dojść do takich wniosków. Myśląc o ryzyku funkcjonowania organizacji nie da się pominąć ryzyka związanego z zastosowaniem IT.

Nie, nie proszę Państwa. Nie zamierzamy pisać o muzyce. Nie będzie o gamach, oktawach ani o dynamice i tempie odtwarzania dźwięków. Wszyscy – bez wyjątku – w naszej Konfraterni mamy zdecydowanie drewniane uszy i pozostaniemy przy ryzyku. Choć z wykorzystaniem pojęć kojarzących się muzycznie, ale nie nasza w tym zasługa.

Instytut Inżynierii Oprogramowania (Software Engineering Institute) Uniwersytetu Carnegii Mellon w Pittsburgu, w stanie Pensylwania, w połowie listopada 2020 roku – a zatem stosunkowo niedawno – opublikował kolejną wersję w cyklu raportów (Not Technicznych) znanych specjalistom pod nazwą OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation. Jak widać, nie chodzi o muzyczną oktawę.

OCTAVE jest – najogólniej rzecz ujmując – metodą (autorzy twierdzą, że metodyką) identyfikacji i oceny ryzyka bezpieczeństwa informacji, przy czym OCTAVE-S (z roku 2005) to wersja dostosowana do potrzeb małych organizacji (do 100 osób).

Software Engineering Institute (SEI) jest sponsorowany bezpośrednio przez amerykański Departament Obrony, a więc przez rząd amerykański.

Jedynie wersja Allegro bezpośrednio nawiązuje do muzycznego określenia rozumianego jako „szybko – żwawo”. Oznacza to po prostu wersję sprzyjającą przyspieszeniu realizacji procesów zarządzania ryzykiem.

Nie zamierzamy tu omawiać publikacji z lat poprzednich, nas interesuje publikacja ostatnia, zatytułowana „Advancing Risk Management Capability Using the OCTAVE FORTE Process”. Nazwę “OCTAVE FORTE” należy rozumieć następująco: Operationally Critical Threat, Asset, and Vulnerability Evaluation FOR The Enterprise. Nie jest to standard, dokument nosi oznaczenie Noty Technicznej (TECHNICAL NOTE: CMU/SEI-2020-TN-002).

Jak napisano na stronach SEI:

„Model procesowy OCTAVE FORTE prowadzi organizacje, które są nowe w zarządzaniu ryzykiem w tworzeniu programu zarządzania ryzykiem w przedsiębiorstwie i pomaga dojrzałym organizacjom we wzmocnieniu ich istniejących programów ERM, czyniąc je bardziej niezawodnymi, mierzalnymi, spójnymi i powtarzalnymi. Model może być również używany w połączeniu z poprzednimi modelami OCTAVE i OCTAVE Allegro przez organizacje już zaznajomione z procesami OCTAVE.”

Autorzy przyznają, że OCTAVE FORTE opiera się na koncepcjach ujętych m.in. w publikacjach:

– COSO: Enterprise Risk Management: Integrating with Strategy and Performance; 2017.

– ISO 31000: Risk management – Guidelines; 2018

– NIST: National Institute of Standards and Technology

a także we wcześniejszych, własnych raportach (Notach Technicznych): OCTAVE i OCTAVE Allegro.

Nie zamierzamy omawiać szczegółowo tej publikacji, każdy może sam wyrobić sobie zdanie. Tym bardziej, że dokument można pobrać bezpłatnie ze stron SEI.

Warto jednak – dla ogólnego rozeznania – wspomnieć, że w publikacji zdefiniowano 10 kroków (etapów – faz) procesu zarządzania ryzykiem:

  1. Ustanowienie mechanizmów (struktury) zarządzania ryzykiem i określenie apetytu na ryzyko
  2. Określenie krytycznych usług i aktywów
  3. Określenie wymagań dotyczących odporności aktywów
  4. Ocena aktualnej skuteczności mechanizmów kontrolnych
  5. Identyfikacja ryzyka, zagrożeń i luk zabezpieczeń aktywów
  6. Ocena ryzyka w odniesieniu do skuteczności mechanizmów kontrolnych
  7. Opracowanie planów reakcji na ryzyko
  8. Uruchomienie (wdrożenie) planów reakcji
  9. Monitorowanie i pomiar skuteczności programu ERM
  10. Przegląd, aktualizacja i ponowienie cyklu

Do publikacji dołączono – jako osobne dokumenty – szablony różnych dokumentów, które można wykorzystać w procesie zarządzania ryzykiem. Niektóre z nich mogą wywołać uśmiech ekspertów, ale – jak sami autorzy przyznają – są to materiały (jak i cała publikacja) przeznaczone zasadniczo dla organizacji debiutujących w zakresie zarządzania ryzykiem. Niemniej doświadczeni specjaliści znajdą dla siebie również coś ciekawego – chociażby potwierdzenie własnych kompetencji.

Jak my odbieramy i oceniamy tę publikację?

Cóż, krytykować zawsze jest łatwo ale nie zawsze ma sens. Trzeba bowiem brać pod uwagę kilka czynników.

  1. Publikacja jest niejako przedłużeniem wcześniejszych publikacji z tej serii (OCTAVE) i trzeba ją odbierać i oceniać w kontekście całej serii. OCTAVE FORTE nie wywraca i nie neguje mechanizmów opisanych we wcześniejszych publikacjach z tej serii. I to jest pewną zaletą.
  2. OCTAVE FORTE stanowi pewną próbę wyjścia poza sferę IT w kierunku zintegrowanego zarządzania ryzykiem organizacji a więc nie tylko ryzykiem IT – ryzykiem bezpieczeństwa informacji. Świadczy o tym już pierwszy proponowany krok, w ramach którego organizacja powinna określić swój „apetyt na ryzyko”. Ale to chyba nie jest wystarczająca koncepcja. Raczej nie zastąpi ani publikacji COSO ani nawet amerykańskiej rządowej wersji ERM – o tej napiszemy wkrótce.
  3. Podstawowy zarzut mamy taki, że OCTAVE FORTE odnosi ryzyko bezpośrednio do aktywów informacyjnych a nie do CELÓW związanych z wykorzystaniem aktywów informacyjnych przez organizacje. Różnica w podejściu jest wyraźna, szczególnie gdy wkracza się w sferę ERM – Enterprise Risk Management. Organizacja to nie tylko IT.

Reasumując, jest to publikacja, która powinna być znana osobom zajmującym się ryzykiem IT a kierownictwo organizacji i – jeśli w organizacja ma wewnętrzną strukturę audytu – audytorzy wewnętrzni powinni wiedzieć, że osoby zajmujące się ryzykiem IT powinny znać OCTAVE FORTE. No i wcześniejsze publikacje z tej serii.

Powtarzamy coś, co uważamy za ważne: nigdy dosyć wiedzy.

I na koniec ciekawostka: dwudniowy kurs OCTAVE FORTE prowadzony przez SEI kosztuje (dla podmiotów spoza USA) 2250 USD. Przypominamy, publikacja jest dostępna bezpłatnie i liczy około 100 stron.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły