- Technologie informatyczne – jak oceniają eksperci – stają się jednym z ważniejszych czynników niezbędnych dla funkcjonowania organizacji, Ba, nie trzeba ekspertów, żeby dojść do takich wniosków. Myśląc o ryzyku funkcjonowania organizacji nie da się pominąć ryzyka związanego z zastosowaniem IT.
Nie, nie proszę Państwa. Nie zamierzamy pisać o muzyce. Nie będzie o gamach, oktawach ani o dynamice i tempie odtwarzania dźwięków. Wszyscy – bez wyjątku – w naszej Konfraterni mamy zdecydowanie drewniane uszy i pozostaniemy przy ryzyku. Choć z wykorzystaniem pojęć kojarzących się muzycznie, ale nie nasza w tym zasługa.
Instytut Inżynierii Oprogramowania (Software Engineering Institute) Uniwersytetu Carnegii Mellon w Pittsburgu, w stanie Pensylwania, w połowie listopada 2020 roku – a zatem stosunkowo niedawno – opublikował kolejną wersję w cyklu raportów (Not Technicznych) znanych specjalistom pod nazwą OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation. Jak widać, nie chodzi o muzyczną oktawę.
OCTAVE jest – najogólniej rzecz ujmując – metodą (autorzy twierdzą, że metodyką) identyfikacji i oceny ryzyka bezpieczeństwa informacji, przy czym OCTAVE-S (z roku 2005) to wersja dostosowana do potrzeb małych organizacji (do 100 osób).
Software Engineering Institute (SEI) jest sponsorowany bezpośrednio przez amerykański Departament Obrony, a więc przez rząd amerykański.
Jedynie wersja Allegro bezpośrednio nawiązuje do muzycznego określenia rozumianego jako „szybko – żwawo”. Oznacza to po prostu wersję sprzyjającą przyspieszeniu realizacji procesów zarządzania ryzykiem.
Nie zamierzamy tu omawiać publikacji z lat poprzednich, nas interesuje publikacja ostatnia, zatytułowana „Advancing Risk Management Capability Using the OCTAVE FORTE Process”. Nazwę “OCTAVE FORTE” należy rozumieć następująco: Operationally Critical Threat, Asset, and Vulnerability Evaluation FOR The Enterprise. Nie jest to standard, dokument nosi oznaczenie Noty Technicznej (TECHNICAL NOTE: CMU/SEI-2020-TN-002).
Jak napisano na stronach SEI:
„Model procesowy OCTAVE FORTE prowadzi organizacje, które są nowe w zarządzaniu ryzykiem w tworzeniu programu zarządzania ryzykiem w przedsiębiorstwie i pomaga dojrzałym organizacjom we wzmocnieniu ich istniejących programów ERM, czyniąc je bardziej niezawodnymi, mierzalnymi, spójnymi i powtarzalnymi. Model może być również używany w połączeniu z poprzednimi modelami OCTAVE i OCTAVE Allegro przez organizacje już zaznajomione z procesami OCTAVE.”
Autorzy przyznają, że OCTAVE FORTE opiera się na koncepcjach ujętych m.in. w publikacjach:
– COSO: Enterprise Risk Management: Integrating with Strategy and Performance; 2017.
– ISO 31000: Risk management – Guidelines; 2018
– NIST: National Institute of Standards and Technology
a także we wcześniejszych, własnych raportach (Notach Technicznych): OCTAVE i OCTAVE Allegro.
Nie zamierzamy omawiać szczegółowo tej publikacji, każdy może sam wyrobić sobie zdanie. Tym bardziej, że dokument można pobrać bezpłatnie ze stron SEI.
Warto jednak – dla ogólnego rozeznania – wspomnieć, że w publikacji zdefiniowano 10 kroków (etapów – faz) procesu zarządzania ryzykiem:
- Ustanowienie mechanizmów (struktury) zarządzania ryzykiem i określenie apetytu na ryzyko
- Określenie krytycznych usług i aktywów
- Określenie wymagań dotyczących odporności aktywów
- Ocena aktualnej skuteczności mechanizmów kontrolnych
- Identyfikacja ryzyka, zagrożeń i luk zabezpieczeń aktywów
- Ocena ryzyka w odniesieniu do skuteczności mechanizmów kontrolnych
- Opracowanie planów reakcji na ryzyko
- Uruchomienie (wdrożenie) planów reakcji
- Monitorowanie i pomiar skuteczności programu ERM
- Przegląd, aktualizacja i ponowienie cyklu
Do publikacji dołączono – jako osobne dokumenty – szablony różnych dokumentów, które można wykorzystać w procesie zarządzania ryzykiem. Niektóre z nich mogą wywołać uśmiech ekspertów, ale – jak sami autorzy przyznają – są to materiały (jak i cała publikacja) przeznaczone zasadniczo dla organizacji debiutujących w zakresie zarządzania ryzykiem. Niemniej doświadczeni specjaliści znajdą dla siebie również coś ciekawego – chociażby potwierdzenie własnych kompetencji.
Jak my odbieramy i oceniamy tę publikację?
Cóż, krytykować zawsze jest łatwo ale nie zawsze ma sens. Trzeba bowiem brać pod uwagę kilka czynników.
- Publikacja jest niejako przedłużeniem wcześniejszych publikacji z tej serii (OCTAVE) i trzeba ją odbierać i oceniać w kontekście całej serii. OCTAVE FORTE nie wywraca i nie neguje mechanizmów opisanych we wcześniejszych publikacjach z tej serii. I to jest pewną zaletą.
- OCTAVE FORTE stanowi pewną próbę wyjścia poza sferę IT w kierunku zintegrowanego zarządzania ryzykiem organizacji a więc nie tylko ryzykiem IT – ryzykiem bezpieczeństwa informacji. Świadczy o tym już pierwszy proponowany krok, w ramach którego organizacja powinna określić swój „apetyt na ryzyko”. Ale to chyba nie jest wystarczająca koncepcja. Raczej nie zastąpi ani publikacji COSO ani nawet amerykańskiej rządowej wersji ERM – o tej napiszemy wkrótce.
- Podstawowy zarzut mamy taki, że OCTAVE FORTE odnosi ryzyko bezpośrednio do aktywów informacyjnych a nie do CELÓW związanych z wykorzystaniem aktywów informacyjnych przez organizacje. Różnica w podejściu jest wyraźna, szczególnie gdy wkracza się w sferę ERM – Enterprise Risk Management. Organizacja to nie tylko IT.
Reasumując, jest to publikacja, która powinna być znana osobom zajmującym się ryzykiem IT a kierownictwo organizacji i – jeśli w organizacja ma wewnętrzną strukturę audytu – audytorzy wewnętrzni powinni wiedzieć, że osoby zajmujące się ryzykiem IT powinny znać OCTAVE FORTE. No i wcześniejsze publikacje z tej serii.
Powtarzamy coś, co uważamy za ważne: nigdy dosyć wiedzy.
I na koniec ciekawostka: dwudniowy kurs OCTAVE FORTE prowadzony przez SEI kosztuje (dla podmiotów spoza USA) 2250 USD. Przypominamy, publikacja jest dostępna bezpłatnie i liczy około 100 stron.
