Za dużo bezpieczeństwa

0
41

Skończyłem kawałek pracy, wydruk próbny już nie potrzebny, czyli zgodnie z zasadami zarządzania dokumentami – oznaczenie, że niepotrzebny i nie do użycia. OK i teraz sortowanie – leci do kontenerka “zniszczyć pod nadzorem”. Zaraz, zaraz… ale przecież to jest wydruk z materiałów oficjalnych Instytutu, nawet publikowanych. Wrócił do właściwego – do ponownego wykorzystania (druga strona kartki czysta).

Wydaje mi się, że jest to bardzo ciekawa kanwa do dyskusji o tym, jak bezpiecznicy (ci od bezpieczeństwa) czasem … narzucają za dużo bezpieczeństwa. Gdzie się nie odwrócimy – tam porady, rady i poradniki. Co powinno być, czego być nie powinno, co powinniśmy chować, czego nie, co zabezpieczać itd. Wszystko to świetne, dziękować należy za ten wkład w bezpieczeństwo, budowanie świadomości… zaraz… A czy na pewno budowanie świadomości? Czy schematów działania, które potem działają (lub czasem nie), ale nie zawsze są adekwatne.

Uświadamiam sobie od jakiegoś czasu, że z jednej strony dyskusja idzie w kierunku zarządzania bezpieczeństwem w sposób sensowny, celowy, wydatki i budżety muszą być dostosowane i precyzyjnie określone co do nakładu i celu jaki chcemy osiągnąć (pojawiają się mierniki, wskaźniki etc). Wszystko to opierane jest na szacowaniu, ocenie ryzyka, tak aby wykazać, jakie nakłady są właśnie adekwatne.

A jak mają się do tego poradniki, czy czasem wręcz standardy?

Lekko nijak. Często pokazane jest działanie wymagane przy najwyższym poziomie ryzyka – czyli najwyższym możliwym skutku i najwyższym możliwym prawdopodobieństwie lub coś koło tego. Ale przecież tak nie jest. Zasada Pareto wiecznie żywa. 20% nakładów da nawet 80% bezpieczeństwa. Ważne tylko aby były to nakłady celowe, a nie po prostu nakłady. Dlatego zastanawiam się, czemu w tych poradach nie mogę doszukać się informacji JAK OCENIĆ ryzyko takiego czy innego opisanego w poradniku zdarzenia? A dopiero potem wskazanie właściwego poziomu zabezpieczeń (w tym również naszego postepowania jako elementu prewencji i zapobiegania), sposobu przeciwdziałania, bardziej lub mniej sensownych zabezpieczeń etc.

Istota zagadnienia jest nieco poważniejsza niż wygląda to na pierwszy rzut oka. Nie chodzi o to, że się czepiam jakości poradników. Po prostu obawą napawa mnie to, że budowane są dwa standardy – jeden, właśnie za pomocą takich poradników, rad i innych, gdzie wskazane jest JEDYNIE WŁAŚCIWE POSTĘPOWANIE. Ale w przypadku wdrożeń już za odpowiednie kwoty, nawet ci sami eksperci mówią o SZACOWANIU RYZYKA i często … sami mówią, że nie ma jedynie słusznego działania i jest ono zależne od poziomu zidentyfikowanego ryzyka.

Co ciekawe – jest to strzelanie sobie w kolano. Bo ludzie, nasi klienci, pracownicy firm dla których pracujemy najpierw są edukowani właśnie w kierunku takim, że wystarczy jeden schemat i szablon, a tu za chwile przychodzimy i staramy się przekazać coś zupełnie innego.

A przecież ryzyko, zagrożenie, system bezpieczeństwa są dokładnie tak samo budowane.