managament integrat de risc si matrice analiza de risc
TRANSCRIPT
1. MISCA
Abordarea noastră (Managementul Integrat al Securității și Continuității în Afaceri) integrează sinergic politici, măsuri și instrumente în scopul asigurării unitare a securității și a continuității.
Concept comprehensiv centrat pe analiza de informații (intelligence)
Cunoașterea riscurilor (analiză de risc), identificarea amenințărilor și a vulnerabilităților de securitate (counter-competitive intelligence)
Planificarea continuității în afaceri (business continuity)
Analiza de informații
Colectare de date și informații relevante
Analiză de date și informații multi-sursă cu privire la riscuri, amenințări, vulnerabilități și oportunități de afaceri
Raportare și alertareMonitorizare și evaluare a
tendințelorSuport decizional la nivel tactic și
strategicManagementul schimbării
Counter-competitive intelligence
Investigații de securitate în mediul intern și extern al organizației: Securitatea personalului (proceduri și politici HR, testări, vetting, screening de risc) Securitatea bunurilor și proceselor organizațiilor (testări la efort, teste de penetrare etc.) Due-diligence (verificarea antecedentelor) Lecții învățate Norme și standarde de bune practici
Managementul integrat al securității
Securitatea fizică (a obiectivelor) Securitatea datelor și
informațiilor (INFOSEC, CYBERSEC)
Securitatea proceselor (activităților) și fluxurilor (de lucru, de producție, de informații)
Securitatea personalului (HUMSEC)
Securitatea procedurală Managementul reputației
(analize de risc reputațional) Managementul schimbării Planificarea asigurării
continuității în afaceri
MISCA
Generează cunoaștere măsurabilă pe baza analizei de informații/intelligence
Oferă o viziune de ansamblu Creștere preocuparea pentru prevenire și
anticipare Asigură suport decizional proactiv (măsuri și
contramăsuri) pentru asigurarea continuității în afaceri
Sporește eficiența și competitivitateaFacilitează tranziția și managementul
schimbării
2. Matrice analiză de risc
Concepte și grila de analiză a risculuiVunerabilitatea - o chestiune internă, neregularitate, problemă care accentuează (direct sau indirect) insecuritatea.Amenințarea - o chestiune externă, care amenință direct securitatea, însă de regulă vine pe fundalul unor vulnerabilități.Provocarea – variabile care influențează analiza de risc, anumite evoluții majore (de regulă externe) care influențează (în sensul potențării sau inhibării, creșterii sau descreșterii) vulnerabilitățile și amenințările.Riscul - potentialitatea primelor două, evaluată într-o matrice pe 2 axe: probabilitatea și impactul (vulnerabilităților și amenințărilor).
Matricea probabilitate-impact
Analiza de risc se poate realiza folosind mai multe instrumente, unul dintre cele mai răspândite fiind matricea probabilitate-impact cu următoarele etape:- evaluarea probabilităţii de apariție/manifestare a vulnerabilităților și amenințărilor;
- evaluarea impactului asupra securităţii naţionale.
A treia axă
Se mai poate discuta de evaluarea toleranței la risc, precum și de o posibilă a treia axa și anume capacitatea statului/societății/cetățeanului de a răspunde/de a face față vulnerabilităților și amenințărilor.
O matrice cu 3 axe ar putea fi spartă nu în 4, ci în 8 cadrane, urmând ca prioritizarea amenințărilor și vulnerabilităților de care România ar trebui să se ocupe să fie realizată și în funcție de capacitatea sa de a le gestiona/elimina/diminua (normativ, instituțional, prin capabilități de intelligence sau de apărare, prin cooperare etc.).
Referințe
Studia Securitatis, nr. 2/2012, Sibiu
SECURITY RISK ANALYSIS AND MANAGEMENT IN THE ROMANIAN INTELLIGENCE SERVICE (SRI)Publication: Security Studies (2/2012)Author Name: Diculescu-Blebea, Iulian; Niţu, Ionel;Language: RomanianSubject: Politics / Policy Studies
Abordările de securitate, analiză și management al riscului trebuie să fie predictive/anticipative, proactive și integrate.Predictive, pentru că a trata doar riscurile trecute/prezente înseamnă a nu fii pregătiți pentru viitor.Proactive, pentru că abordările pasive, reactive și inerțiale nu ne pregătesc pentru viitor.Integrate, pentru că abordarea secvențială/insularizată a riscurilor nu este o soluție acceptabilă în viitor.Așadar, să punem punctul pe i (de două ori), pe i-urile de la viitor!